如何在Ubuntu 20.04上安装Graylog

广告

在Ubuntu 20.04上安装Graylog

Graylog是一个开源日志管理工具,可帮助您集中存储和分析任何计算机日志。 Graylog设置由Graylog服务器,Elasticsearch和MongoDB三个组件组成。

在这里,我们将看到如何在Ubuntu 20.04上安装Graylog。

安装Java

Graylog设置需要Java版本8或更高版本。 您可以在计算机上使用OpenJDK或Oracle JDK进行下一步。

读: 如何在Ubuntu 20.04上安装Oracle Java

在这里,我将使用OpenJDK 11。

sudo apt update

sudo apt install -y apt-transport-https openjdk-11-jre-headless uuid-runtime pwgen curl dirmngr

在安装OpenJDK之后验证Java版本。

java -version

输出:

openjdk version "11.0.8" 2020-07-14
OpenJDK Runtime Environment (build 11.0.8+10-post-Ubuntu-0ubuntu120.04)
OpenJDK 64-Bit Server VM (build 11.0.8+10-post-Ubuntu-0ubuntu120.04, mixed mode, sharing)

安装Elasticsearch

Elasticsearch存储日志来自外部资源,并通过RESTful Web界面提供实时分布式搜索和分析。

下载并安装GPG签名密钥。

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -

通过运行以下命令在您的系统上设置Elasticsearch存储库。

echo "deb https://artifacts.elastic.co/packages/oss-6.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-6.x.list

更新存储库缓存,然后安装Elasticsearch软件包。

sudo apt update

sudo apt install -y elasticsearch-oss

编辑Elasticsearch配置文件以设置Graylog设置的集群名称。

sudo nano /etc/elasticsearch/elasticsearch.yml

将群集名称设置为graylog,如下所示。

cluster.name: graylog

然后,取消注释下面的行。

action.auto_create_index: false

启动Elasticsearch服务以读取新配置。

广告

sudo systemctl daemon-reload

sudo systemctl start elasticsearch

sudo systemctl enable elasticsearch

至少等待一分钟,以使Elasticsearch完全启动。

Elastisearch现在应该在端口9200上侦听。使用curl命令检查Elasticsearch的响应。

curl -X GET http://localhost:9200

输出:

确保输出具有群集名称graylog。

{
  "name" : "vQklpl4",
  "cluster_name" : "graylog",
  "cluster_uuid" : "jLztxJoOROK-XuZkoKJr6A",
  "version" : {
    "number" : "6.8.11",
    "build_flavor" : "oss",
    "build_type" : "deb",
    "build_hash" : "00bf386",
    "build_date" : "2020-07-09T19:08:08.940669Z",
    "build_snapshot" : false,
    "lucene_version" : "7.7.3",
    "minimum_wire_compatibility_version" : "5.6.0",
    "minimum_index_compatibility_version" : "5.0.0"
  },
  "tagline" : "You Know, for Search"
}

安装MongoDB

MongoDB充当用于存储Graylog配置的数据库。 Graylog需要MongoDB v3.6、4.0或4.2。

不幸的是,MongoDB官方存储库没有Ubuntu 20.04所需的MongoDB版本。 因此,我们将从Ubuntu基础存储库安装MongoDB v3.6。

sudo apt update

sudo apt install -y mongodb-server

启动MongoDB并在系统启动时启用它。

sudo systemctl start mongodb

sudo systemctl enable mongodb

安装Graylog服务器

Graylog Server从Elasticsearch读取数据,以获取来自用户的搜索查询,然后通过Graylog Web界面为他们显示搜索查询。

下载并安装Graylog 3.3存储库配置包。

wget https://packages.graylog2.org/repo/packages/graylog-3.3-repository_latest.deb

sudo dpkg -i graylog-3.3-repository_latest.deb

更新存储库缓存。

sudo apt update

使用以下命令安装Graylog服务器。

sudo apt install -y graylog-server

您必须设置一个秘密来保护用户密码。 使用pwgen命令生成密钥。

pwgen -N 1 -s 96

输出:

HRy1WNsMQIWF228SsbdQCnCsTBL7wVez28UsZXI8PXqStx5DQe3PAmtpm8PNm6g8K44fVFNo4c7Bvp4WCOyxGiSXvdhOXl8w

编辑server.conf文件。

sudo nano /etc/graylog/server/server.conf

然后,如下所示放置秘密。

广告

password_secret = HRy1WNsMQIWF228SsbdQCnCsTBL7wVez28UsZXI8PXqStx5DQe3PAmtpm8PNm6g8K44fVFNo4c7Bvp4WCOyxGiSXvdhOXl8w

现在,为根用户生成一个哈希(sha256)密码(不要与系统用户混淆,graylog的根用户是admin)。

您将需要此密码才能登录Graylog Web界面。 管理员的密码无法使用网络界面更改。 因此,您必须编辑此变量进行设置。

用您选择的密码替换密码。

echo -n password | sha256sum

输出:

5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8

再次编辑server.conf文件。

sudo nano /etc/graylog/server/server.conf

然后,如下所示输入哈希密码。

root_password_sha2 = 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8

设置Graylog Web界面

从Graylog 2.x版本开始,Web界面直接由Graylog服务器提供服务。 通过编辑server.conf文件来启用Graylog Web界面。

sudo nano /etc/graylog/server/server.conf

使用系统IP地址更新以下条目,您将通过该IP地址访问Graylog Web界面。

http_bind_address = 192.168.0.10:9000

如果由于NAT而碰巧使用公共IP地址访问Graylog,请更新以下值。 否则,请跳过它。

http_external_uri = http://public_ip:9000/

启动并启用Graylog服务。

sudo systemctl daemon-reload

sudo systemctl start graylog-server

sudo systemctl enable graylog-server

继续查找Graylog服务器启动日志。 如果有任何问题,此日志将有助于您对Graylog进行故障排除。

sudo tail -f /var/log/graylog-server/server.log

成功启动Graylog服务器后,您应该在日志文件中收到以下消息。

2020-08-03T16:03:06.326-04:00 INFO  [ServerBootstrap] Graylog server up and running.

访问Graylog

Graylog Web界面现在将在端口9000上进行侦听。打开浏览器并将其指向。

http://ip.add.re.ss:9000

使用用户名admin和您在server.conf文件的root_password_sha2上配置的密码登录。

Graylog登录屏幕Graylog登录屏幕

登录后,您将看到“入门”页面。

Graylog入门页面Graylog入门页面

点击 系统 >> 总览 了解Graylog服务器的状态。

广告

系统总览系统总览

创建Graylog输入

在下一篇文章中,我们将看到如何配置Graylog以从外部源接收Rsyslog日志。

结论

您已在Ubuntu 20.04上成功安装Graylog 3.0。 作为进一步的阅读,您可以尝试将Nginx或Apache配置为反向代理,并为Graylog Web界面设置HTTPS。

Sidebar