Menu

如何在Ubuntu 20.04上安裝Graylog

廣告

在Ubuntu 20.04上安裝Graylog

Graylog是一個開源日誌管理工具,可幫助您集中存儲和分析任何計算機日誌。 Graylog設置由Graylog服務器,Elasticsearch和MongoDB三個組件組成。

在這裡,我們將看到如何在Ubuntu 20.04上安裝Graylog。

安裝Java

Graylog設置需要Java版本8或更高版本。 您可以在計算機上使用OpenJDK或Oracle JDK進行下一步。

讀: 如何在Ubuntu 20.04上安裝Oracle Java

在這裡,我將使用OpenJDK 11。

sudo apt update

sudo apt install -y apt-transport-https openjdk-11-jre-headless uuid-runtime pwgen curl dirmngr

在安裝OpenJDK之後驗證Java版本。

java -version

輸出:

openjdk version "11.0.8" 2020-07-14
OpenJDK Runtime Environment (build 11.0.8+10-post-Ubuntu-0ubuntu120.04)
OpenJDK 64-Bit Server VM (build 11.0.8+10-post-Ubuntu-0ubuntu120.04, mixed mode, sharing)

安裝Elasticsearch

Elasticsearch存儲日誌來自外部資源,並通過RESTful Web界面提供實時分布式搜索和分析。

下載並安裝GPG簽名密鑰。

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -

通過運行以下命令在您的系統上設置Elasticsearch存儲庫。

echo "deb https://artifacts.elastic.co/packages/oss-6.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-6.x.list

更新存儲庫緩存,然後安裝Elasticsearch軟件包。

sudo apt update

sudo apt install -y elasticsearch-oss

編輯Elasticsearch配置文件以設置Graylog設置的集群名稱。

sudo nano /etc/elasticsearch/elasticsearch.yml

將群集名稱設置為graylog,如下所示。

cluster.name: graylog

然後,取消注釋下面的行。

action.auto_create_index: false

啟動Elasticsearch服務以讀取新配置。

廣告

sudo systemctl daemon-reload

sudo systemctl start elasticsearch

sudo systemctl enable elasticsearch

至少等待一分鐘,以使Elasticsearch完全啟動。

Elastisearch現在應該在端口9200上偵聽。使用curl命令檢查Elasticsearch的響應。

curl -X GET http://localhost:9200

輸出:

確保輸出具有群集名稱graylog。

{
  "name" : "vQklpl4",
  "cluster_name" : "graylog",
  "cluster_uuid" : "jLztxJoOROK-XuZkoKJr6A",
  "version" : {
    "number" : "6.8.11",
    "build_flavor" : "oss",
    "build_type" : "deb",
    "build_hash" : "00bf386",
    "build_date" : "2020-07-09T19:08:08.940669Z",
    "build_snapshot" : false,
    "lucene_version" : "7.7.3",
    "minimum_wire_compatibility_version" : "5.6.0",
    "minimum_index_compatibility_version" : "5.0.0"
  },
  "tagline" : "You Know, for Search"
}

安裝MongoDB

MongoDB充當用於存儲Graylog配置的數據庫。 Graylog需要MongoDB v3.6、4.0或4.2。

不幸的是,MongoDB官方存儲庫沒有Ubuntu 20.04所需的MongoDB版本。 因此,我們將從Ubuntu基礎存儲庫安裝MongoDB v3.6。

sudo apt update

sudo apt install -y mongodb-server

啟動MongoDB並在系統啟動時啟用它。

sudo systemctl start mongodb

sudo systemctl enable mongodb

安裝Graylog服務器

Graylog Server從Elasticsearch讀取數據,以獲取來自用戶的搜索查詢,然後通過Graylog Web界面為他們顯示搜索查詢。

下載並安裝Graylog 3.3存儲庫配置包。

wget https://packages.graylog2.org/repo/packages/graylog-3.3-repository_latest.deb

sudo dpkg -i graylog-3.3-repository_latest.deb

更新存儲庫緩存。

sudo apt update

使用以下命令安裝Graylog服務器。

sudo apt install -y graylog-server

您必須設置一個秘密來保護用戶密碼。 使用pwgen命令生成密鑰。

pwgen -N 1 -s 96

輸出:

HRy1WNsMQIWF228SsbdQCnCsTBL7wVez28UsZXI8PXqStx5DQe3PAmtpm8PNm6g8K44fVFNo4c7Bvp4WCOyxGiSXvdhOXl8w

編輯server.conf文件。

sudo nano /etc/graylog/server/server.conf

然後,如下所示放置秘密。

廣告

password_secret = HRy1WNsMQIWF228SsbdQCnCsTBL7wVez28UsZXI8PXqStx5DQe3PAmtpm8PNm6g8K44fVFNo4c7Bvp4WCOyxGiSXvdhOXl8w

現在,為根用戶生成一個哈希(sha256)密碼(不要與系統用戶混淆,graylog的根用戶是admin)。

您將需要此密碼才能登錄Graylog Web界面。 管理員的密碼無法使用網絡界面更改。 因此,您必須編輯此變量進行設置。

用您選擇的密碼替換密碼。

echo -n password | sha256sum

輸出:

5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8

再次編輯server.conf文件。

sudo nano /etc/graylog/server/server.conf

然後,如下所示輸入哈希密碼。

root_password_sha2 = 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8

設置Graylog Web界面

從Graylog 2.x版本開始,Web界面直接由Graylog服務器提供服務。 通過編輯server.conf文件來啟用Graylog Web界面。

sudo nano /etc/graylog/server/server.conf

使用系統IP地址更新以下條目,您將通過該IP地址訪問Graylog Web界面。

http_bind_address = 192.168.0.10:9000

如果由於NAT而碰巧使用公共IP地址訪問Graylog,請更新以下值。 否則,請跳過它。

http_external_uri = http://public_ip:9000/

啟動並啟用Graylog服務。

sudo systemctl daemon-reload

sudo systemctl start graylog-server

sudo systemctl enable graylog-server

繼續查找Graylog服務器啟動日誌。 如果有任何問題,此日誌將有助於您對Graylog進行故障排除。

sudo tail -f /var/log/graylog-server/server.log

成功啟動Graylog服務器後,您應該在日誌文件中收到以下消息。

2020-08-03T16:03:06.326-04:00 INFO  [ServerBootstrap] Graylog server up and running.

訪問Graylog

Graylog Web界面現在將在端口9000上進行偵聽。打開瀏覽器並將其指向。

http://ip.add.re.ss:9000

使用用戶名admin和您在server.conf文件的root_password_sha2上配置的密碼登錄。

Graylog登錄屏幕Graylog登錄屏幕

登錄後,您將看到“入門”頁面。

Graylog入門頁面Graylog入門頁面

點擊 系統 >> 總覽 了解Graylog服務器的狀態。

廣告

系統總覽系統總覽

創建Graylog輸入

在下一篇文章中,我們將看到如何配置Graylog以從外部源接收Rsyslog日誌。

結論

您已在Ubuntu 20.04上成功安裝Graylog 3.0。 作為進一步的閱讀,您可以嘗試將Nginx或Apache配置為反向代理,並為Graylog Web界面設置HTTPS。

近期更新

Sidebar