如何在Ubuntu 20.04上安装Graylog
广告
Graylog是一个开源日志管理工具,可帮助您集中存储和分析任何计算机日志。 Graylog设置由Graylog服务器,Elasticsearch和MongoDB三个组件组成。
在这里,我们将看到如何在Ubuntu 20.04上安装Graylog。
安装Java
Graylog设置需要Java版本8或更高版本。 您可以在计算机上使用OpenJDK或Oracle JDK进行下一步。
读: 如何在Ubuntu 20.04上安装Oracle Java
在这里,我将使用OpenJDK 11。
sudo apt update sudo apt install -y apt-transport-https openjdk-11-jre-headless uuid-runtime pwgen curl dirmngr
在安装OpenJDK之后验证Java版本。
java -version
输出:
openjdk version "11.0.8" 2020-07-14 OpenJDK Runtime Environment (build 11.0.8+10-post-Ubuntu-0ubuntu120.04) OpenJDK 64-Bit Server VM (build 11.0.8+10-post-Ubuntu-0ubuntu120.04, mixed mode, sharing)
安装Elasticsearch
Elasticsearch存储日志来自外部资源,并通过RESTful Web界面提供实时分布式搜索和分析。
下载并安装GPG签名密钥。
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
通过运行以下命令在您的系统上设置Elasticsearch存储库。
echo "deb https://artifacts.elastic.co/packages/oss-6.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-6.x.list
更新存储库缓存,然后安装Elasticsearch软件包。
sudo apt update sudo apt install -y elasticsearch-oss
编辑Elasticsearch配置文件以设置Graylog设置的集群名称。
sudo nano /etc/elasticsearch/elasticsearch.yml
将群集名称设置为graylog,如下所示。
cluster.name: graylog
然后,取消注释下面的行。
action.auto_create_index: false
启动Elasticsearch服务以读取新配置。
广告
sudo systemctl daemon-reload sudo systemctl start elasticsearch sudo systemctl enable elasticsearch
至少等待一分钟,以使Elasticsearch完全启动。
Elastisearch现在应该在端口9200上侦听。使用curl命令检查Elasticsearch的响应。
curl -X GET http://localhost:9200
输出:
确保输出具有群集名称graylog。
{ "name" : "vQklpl4", "cluster_name" : "graylog", "cluster_uuid" : "jLztxJoOROK-XuZkoKJr6A", "version" : { "number" : "6.8.11", "build_flavor" : "oss", "build_type" : "deb", "build_hash" : "00bf386", "build_date" : "2020-07-09T19:08:08.940669Z", "build_snapshot" : false, "lucene_version" : "7.7.3", "minimum_wire_compatibility_version" : "5.6.0", "minimum_index_compatibility_version" : "5.0.0" }, "tagline" : "You Know, for Search" }
安装MongoDB
MongoDB充当用于存储Graylog配置的数据库。 Graylog需要MongoDB v3.6、4.0或4.2。
不幸的是,MongoDB官方存储库没有Ubuntu 20.04所需的MongoDB版本。 因此,我们将从Ubuntu基础存储库安装MongoDB v3.6。
sudo apt update sudo apt install -y mongodb-server
启动MongoDB并在系统启动时启用它。
sudo systemctl start mongodb sudo systemctl enable mongodb
安装Graylog服务器
Graylog Server从Elasticsearch读取数据,以获取来自用户的搜索查询,然后通过Graylog Web界面为他们显示搜索查询。
下载并安装Graylog 3.3存储库配置包。
wget https://packages.graylog2.org/repo/packages/graylog-3.3-repository_latest.deb sudo dpkg -i graylog-3.3-repository_latest.deb
更新存储库缓存。
sudo apt update
使用以下命令安装Graylog服务器。
sudo apt install -y graylog-server
您必须设置一个秘密来保护用户密码。 使用pwgen命令生成密钥。
pwgen -N 1 -s 96
输出:
HRy1WNsMQIWF228SsbdQCnCsTBL7wVez28UsZXI8PXqStx5DQe3PAmtpm8PNm6g8K44fVFNo4c7Bvp4WCOyxGiSXvdhOXl8w
编辑server.conf文件。
sudo nano /etc/graylog/server/server.conf
然后,如下所示放置秘密。
广告
password_secret = HRy1WNsMQIWF228SsbdQCnCsTBL7wVez28UsZXI8PXqStx5DQe3PAmtpm8PNm6g8K44fVFNo4c7Bvp4WCOyxGiSXvdhOXl8w
现在,为根用户生成一个哈希(sha256)密码(不要与系统用户混淆,graylog的根用户是admin)。
您将需要此密码才能登录Graylog Web界面。 管理员的密码无法使用网络界面更改。 因此,您必须编辑此变量进行设置。
用您选择的密码替换密码。
echo -n password | sha256sum
输出:
5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8
再次编辑server.conf文件。
sudo nano /etc/graylog/server/server.conf
然后,如下所示输入哈希密码。
root_password_sha2 = 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8
设置Graylog Web界面
从Graylog 2.x版本开始,Web界面直接由Graylog服务器提供服务。 通过编辑server.conf文件来启用Graylog Web界面。
sudo nano /etc/graylog/server/server.conf
使用系统IP地址更新以下条目,您将通过该IP地址访问Graylog Web界面。
http_bind_address = 192.168.0.10:9000
如果由于NAT而碰巧使用公共IP地址访问Graylog,请更新以下值。 否则,请跳过它。
http_external_uri = http://public_ip:9000/
启动并启用Graylog服务。
sudo systemctl daemon-reload sudo systemctl start graylog-server sudo systemctl enable graylog-server
继续查找Graylog服务器启动日志。 如果有任何问题,此日志将有助于您对Graylog进行故障排除。
sudo tail -f /var/log/graylog-server/server.log
成功启动Graylog服务器后,您应该在日志文件中收到以下消息。
2020-08-03T16:03:06.326-04:00 INFO [ServerBootstrap] Graylog server up and running.
访问Graylog
Graylog Web界面现在将在端口9000上进行侦听。打开浏览器并将其指向。
http://ip.add.re.ss:9000
使用用户名admin和您在server.conf文件的root_password_sha2上配置的密码登录。

登录后,您将看到“入门”页面。

点击 系统 >> 总览 了解Graylog服务器的状态。
广告

创建Graylog输入
在下一篇文章中,我们将看到如何配置Graylog以从外部源接收Rsyslog日志。
结论
您已在Ubuntu 20.04上成功安装Graylog 3.0。 作为进一步的阅读,您可以尝试将Nginx或Apache配置为反向代理,并为Graylog Web界面设置HTTPS。