如何在CentOS 8上使用Elasticsearch安裝Graylog

本指南將指導您完成在CentOS 8上安裝帶有Elasticsearch 7.x的Graylog的過程。Graylog是一個開源日誌管理解決方案,成立於2009年,用於捕獲和集中來自網絡中各種設備的實時日誌。 它是分析關鍵日誌(如SSH登錄,漏洞或任何可能表明系統漏洞的惡意或異常事件)的理想工具。 藉助實時日誌記錄功能,它可以作為完美的網絡安全工具,操作團隊可以使用它們來緩解小問題,然後再滾雪球成為巨大的威脅。

Graylog由3個關鍵組件組成:

  • 彈性搜索:這是一個開源分析引擎,它對從Graylog服務器接收的數據進行索引。
  • MongoDB:這是一個開源的NoSQL數據庫,用於存儲元信息和配置。
  • Graylog服務器:這將傳遞日誌,並提供一個可視化日誌的Web界面。

有了該摘要,我們將立即在CentOS 8上安裝Graylog。

Graylog服務器的先決條件

在開始時,請確保您的CentOS 8實例滿足以下要求:

  • 2個CPU
  • 4 GB內存
  • 快速穩定的互聯網連接

步驟1)使用dnf命令安裝Java 8

Elasticsearch是基於Java構建的,因此,我們需要首先安裝Java,尤其是Java 8。 您可以選擇安裝OpenJDK或Oracle Java。 在本指南中,我們將安裝OpenJDK 8。

$ sudo dnf install -y java-1.8.0-openjdk java-1.8.0-openjdk-devel

要確認安裝的Java版本,請運行:

$ java -version

步驟2)安裝Elasticsearch 7.x

我們將安裝Elasticsearch的最新版本,在撰寫本指南時,該版本為Elasticsearch 7.9.2。 Elasticsearch在CentOS 8存儲庫上不可用,因此我們將創建一個本地存儲庫。 但是首先,如圖所示,導入GPG密鑰。

$ sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

使用文本編輯器,創建一個新的存儲庫文件,如下所示:

$ sudo vi /etc/yum.repos.d/elasticsearch.repo

粘貼如下所示的內容

[elasticsearch-7.x]
name=Elasticsearch repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

保存並退出配置文件。 要安裝Elasticsearch,請運行以下命令:

$ sudo dnf install -y elasticsearch

安裝-elasticsearch-centos8

安裝完成後,通知systemd並啟用Elasticsearch。

$ sudo systemctl daemon-reload
$ sudo systemctl enable elasticsearch

我們需要使Elasticsearch與Graylog一起使用,因此,我們將集群名稱更新為“ graylog”,如下所示:

$ sudo vi /etc/elasticsearch/elasticsearch.yml
.........
cluster.name:  graylog
.........

保存並退出文件,然後重新啟動elasticsearch以使更改生效。

$ sudo systemctl restart elasticsearch

為了驗證Elasticsearch是否正在運行,我們將通過端口9200發送HTTP請求,如圖所示。

$ curl -X GET "localhost:9200/"

您應該獲得如下所示的輸出。

Elasticsearch-Status-CentOS8

步驟3)安裝MongoDB 4

要安裝MongoDB,請創建本地存儲庫文件

$ sudo vi /etc/yum.repos.d/mongodb-org-4.repo

粘貼如下所示的配置

[mongodb-org-4]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/8/mongodb-org/4.2/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-4.2.asc

保存並退出,然後使用顯示的命令安裝MongoDB。

$ sudo dnf install -y mongodb-org

一旦安裝了MongoDB,請啟動MongoDB並確認其狀態,如圖所示

$ sudo systemctl start mongod
$ sudo systemctl enable mongod
$ sudo systemctl status mongod

MongoDB-服務狀態-CentOS8

完美,上面的輸出確認mongodb服務已成功啟動並且運行良好。

步驟4)安裝和配置Graylog服務器

要安裝Graylog服務器,首先開始安裝Graylog存儲庫,如下所示:

$ sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-3.3-repository_latest.rpm

添加存儲庫後,如圖所示安裝Graylog服務器。

$ sudo dnf install -y graylog-server

使用dnf-CentOS8安裝Graylog服務器

成功安裝後,可以通過運行以下命令來確認有關Graylog服務器的更多詳細信息:

$ rpm -qi graylog-server

Graylog服務器-RPM-信息-CentOS8

現在讓我們進行一些配置。 首先,我們將生成一個秘密密碼,該密碼將在/etc/graylog/server/server.conf配置文件中的password_secret指令中傳遞。 為此,我們將使用稱為pwgen的隨機密碼生成器生成一個隨機密碼。 要安裝它,首先我們需要為CentOS 8啟用EPEL存儲庫。

$ sudo dnf install -y epel-release
$ sudo dnf install -y pwgen

安裝後,您可以使用以下命令生成隨機密碼。

$ sudo pwgen -N 1 -s 96

命令的輸出如下所示:

[[email protected] ~]$ sudo pwgen -N 1 -s 96
EtUtR16i9xwRsGbXROMFhSazZ3PvNe1tYui8wM5Q7h1UiXY0RTDdGygkhuDEJi9fpGwwXhMbYjcv9aFLh9DNF15JPBnMD0ne
[[email protected] ~]$

複製加密的密碼並將其保存在某個地方,最好在文本編輯器中。 您將在其他地方需要它。

接下來,如圖所示,為root_password_sha2屬性生成一個密碼。

$ echo -n [email protected]@123# | sha256sum

輸出將是

[[email protected] ~]$ echo -n [email protected]@123# | sha256sum
a8f1a91ef8c534d678c82841a6a88fa01d12c2d184e641458b6bec67eafc0f7c  -
[[email protected] ~]$

再一次,將此加密的密碼保存在某處。 現在打開Graylog的配置文件。

$ sudo vi /etc/graylog/server/server.conf

找到password_secret和root_password_sha2屬性,然後粘貼相應的加密密碼。

密碼秘密根密碼graylog-centos8

接下來,取消注釋http_bind_address屬性,然後輸入服務器的IP。

http-bind-address-graylog-centos8

重新加載systemd,啟動並啟用Graylog。

$ sudo systemctl daemon-reload
$ sudo systemctl start graylog-server
$ sudo systemctl enable graylog-server

運行以下命令以驗證Graylog服務狀態:

$ sudo systemctl status graylog-server

Graylog服務狀態CentOS8

您還可以使用其日誌文件“ /var/log/graylog-server/server.log”來驗證Graylog服務的狀態。

在防火牆中允許Graylog服務器:

如果啟用了防火牆並正在運行,則使用下面的命令允許9000 tcp端口,

$ sudo firewall-cmd --permanent --add-port=9000/tcp
$ sudo firewall-cmd --reload

要在瀏覽器上訪問Graylog,請瀏覽服務器的IP地址,如下所示:

http://服務器IP:9000

確保使用配置文件中指定的用戶名admin和您為root用戶設置的密碼登錄。

Graylog登錄頁面CentOS8

Graylog-Dashboard-CentOS8

這總結了我們今天的主題。 我們已逐步指導您在CentOS 8上安裝Graylog。請分享您的反饋和評論。

Sidebar