如何在CentOS 8上使用Elasticsearch安装Graylog

本指南将指导您完成在CentOS 8上安装带有Elasticsearch 7.x的Graylog的过程。Graylog是一个开源日志管理解决方案,成立于2009年,用于捕获和集中来自网络中各种设备的实时日志。 它是分析关键日志(如SSH登录,漏洞或任何可能表明系统漏洞的恶意或异常事件)的理想工具。 借助实时日志记录功能,它可以作为完美的网络安全工具,操作团队可以使用它们来缓解小问题,然后再滚雪球成为巨大的威胁。

Graylog由3个关键组件组成:

  • 弹性搜索:这是一个开源分析引擎,它对从Graylog服务器接收的数据进行索引。
  • MongoDB:这是一个开源的NoSQL数据库,用于存储元信息和配置。
  • Graylog服务器:这将传递日志,并提供一个可视化日志的Web界面。

有了该摘要,我们将立即在CentOS 8上安装Graylog。

Graylog服务器的先决条件

在开始时,请确保您的CentOS 8实例满足以下要求:

  • 2个CPU
  • 4 GB内存
  • 快速稳定的互联网连接

步骤1)使用dnf命令安装Java 8

Elasticsearch是基于Java构建的,因此,我们需要首先安装Java,尤其是Java 8。 您可以选择安装OpenJDK或Oracle Java。 在本指南中,我们将安装OpenJDK 8。

$ sudo dnf install -y java-1.8.0-openjdk java-1.8.0-openjdk-devel

要确认安装的Java版本,请运行:

$ java -version

步骤2)安装Elasticsearch 7.x

我们将安装Elasticsearch的最新版本,在撰写本指南时,该版本为Elasticsearch 7.9.2。 Elasticsearch在CentOS 8存储库上不可用,因此我们将创建一个本地存储库。 但是首先,如图所示,导入GPG密钥。

$ sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

使用文本编辑器,创建一个新的存储库文件,如下所示:

$ sudo vi /etc/yum.repos.d/elasticsearch.repo

粘贴如下所示的内容

[elasticsearch-7.x]
name=Elasticsearch repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

保存并退出配置文件。 要安装Elasticsearch,请运行以下命令:

$ sudo dnf install -y elasticsearch

安装-elasticsearch-centos8

安装完成后,通知systemd并启用Elasticsearch。

$ sudo systemctl daemon-reload
$ sudo systemctl enable elasticsearch

我们需要使Elasticsearch与Graylog一起使用,因此,我们将集群名称更新为“ graylog”,如下所示:

$ sudo vi /etc/elasticsearch/elasticsearch.yml
.........
cluster.name:  graylog
.........

保存并退出文件,然后重新启动elasticsearch以使更改生效。

$ sudo systemctl restart elasticsearch

为了验证Elasticsearch是否正在运行,我们将通过端口9200发送HTTP请求,如图所示。

$ curl -X GET "localhost:9200/"

您应该获得如下所示的输出。

Elasticsearch-Status-CentOS8

步骤3)安装MongoDB 4

要安装MongoDB,请创建本地存储库文件

$ sudo vi /etc/yum.repos.d/mongodb-org-4.repo

粘贴如下所示的配置

[mongodb-org-4]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/8/mongodb-org/4.2/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-4.2.asc

保存并退出,然后使用显示的命令安装MongoDB。

$ sudo dnf install -y mongodb-org

一旦安装了MongoDB,请启动MongoDB并确认其状态,如图所示

$ sudo systemctl start mongod
$ sudo systemctl enable mongod
$ sudo systemctl status mongod

MongoDB-服务状态-CentOS8

完美,上面的输出确认mongodb服务已成功启动并且运行良好。

步骤4)安装和配置Graylog服务器

要安装Graylog服务器,首先开始安装Graylog存储库,如下所示:

$ sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-3.3-repository_latest.rpm

添加存储库后,如图所示安装Graylog服务器。

$ sudo dnf install -y graylog-server

使用dnf-CentOS8安装Graylog服务器

成功安装后,可以通过运行以下命令来确认有关Graylog服务器的更多详细信息:

$ rpm -qi graylog-server

Graylog服务器-RPM-信息-CentOS8

现在让我们进行一些配置。 首先,我们将生成一个秘密密码,该密码将在/etc/graylog/server/server.conf配置文件中的password_secret指令中传递。 为此,我们将使用称为pwgen的随机密码生成器生成一个随机密码。 要安装它,首先我们需要为CentOS 8启用EPEL存储库。

$ sudo dnf install -y epel-release
$ sudo dnf install -y pwgen

安装后,您可以使用以下命令生成随机密码。

$ sudo pwgen -N 1 -s 96

命令的输出如下所示:

[[email protected] ~]$ sudo pwgen -N 1 -s 96
EtUtR16i9xwRsGbXROMFhSazZ3PvNe1tYui8wM5Q7h1UiXY0RTDdGygkhuDEJi9fpGwwXhMbYjcv9aFLh9DNF15JPBnMD0ne
[[email protected] ~]$

复制加密的密码并将其保存在某个地方,最好在文本编辑器中。 您将在其他地方需要它。

接下来,如图所示,为root_password_sha2属性生成一个密码。

$ echo -n [email protected]@123# | sha256sum

输出将是

[[email protected] ~]$ echo -n [email protected]@123# | sha256sum
a8f1a91ef8c534d678c82841a6a88fa01d12c2d184e641458b6bec67eafc0f7c  -
[[email protected] ~]$

再一次,将此加密的密码保存在某处。 现在打开Graylog的配置文件。

$ sudo vi /etc/graylog/server/server.conf

找到password_secret和root_password_sha2属性,然后粘贴相应的加密密码。

密码秘密根密码graylog-centos8

接下来,取消注释http_bind_address属性,然后输入服务器的IP。

http-bind-address-graylog-centos8

重新加载systemd,启动并启用Graylog。

$ sudo systemctl daemon-reload
$ sudo systemctl start graylog-server
$ sudo systemctl enable graylog-server

运行以下命令以验证Graylog服务状态:

$ sudo systemctl status graylog-server

Graylog服务状态CentOS8

您还可以使用其日志文件“ /var/log/graylog-server/server.log”来验证Graylog服务的状态。

在防火墙中允许Graylog服务器:

如果启用了防火墙并正在运行,则使用下面的命令允许9000 tcp端口,

$ sudo firewall-cmd --permanent --add-port=9000/tcp
$ sudo firewall-cmd --reload

要在浏览器上访问Graylog,请浏览服务器的IP地址,如下所示:

http://服务器IP:9000

确保使用配置文件中指定的用户名admin和您为root用户设置的密码登录。

Graylog登录页面CentOS8

Graylog-Dashboard-CentOS8

这总结了我们今天的主题。 我们已逐步指导您在CentOS 8上安装Graylog。请分享您的反馈和评论。

Sidebar