Cara Install Graylog 1.3 / Graylog2 pada CentOS 7 / RHEL 7

A+ A-

Pada artikel ini kita akan mengkonfigurasi dan menginstal Graylog 1.3 (yang juga disebut sebagai Graylog2) pada CentOS 7, Graylog mengumpulkan syslog untuk mesin ke lokasi terpusat. Graylog adalah alat manajemen log dan analisis yang dapat digunakan dalam banyak kasus, untuk memantau login SSH dan aktivitas yang tidak biasa untuk aplikasi debugging dan log, penggunaan Elasticsearch, Jawa dan MangoDB.

Fitur Graylog dan Komponen

graylog1

GrayLog Server Node: Server terutama menerima dan memproses pesan dan berkomunikasi dengan komponen non-server.

Nodes pencarian elastis: Ini akan menyimpan pesan dan log.

MangoDB: ini menyimpan metadata.

Antarmuka web: Ini adalah antarmuka pengguna utama.

Prasyarat

Untuk tujuan demo, kami membutuhkan CentOS 7 server dengan RAM 2GB dengan Pengguna memiliki hak akses root user.

Instalasi MangoDB

Pertama, kita perlu mengimpor kunci GPC publik ke RPM. Untuk mendapatkan kunci publik yang kami butuhkan untuk menjalankan perintah di bawah ini.

 # Rpm --import https://www.mongodb.org/static/pgp/server-3.2.asc 

Menambahkan sumber repo MangoDB.

 # Vi /etc/yum.repos.d/mango.repo
[Mongodb-org-3.2]
name = MongoDB Repository
baseurl = https: //repo.mongodb.org/yum/redhat/$releasever/mongodb-org/3.2/x86_64/
gpgcheck = 1
enabled = 1 

Kami akan menginstal versi stabil MangoDB dari server

 # Yum install -y mongodb-org 

Memulai MongoDB

 # Systemctl Restart mangod 

Kita bisa melihat bahwa MangoDB dan berjalan.

Instalasi Java pada Server

Sekarang, kita akan menginstal Java sejak Elasticserach dan Logstash baik membutuhkan Java. Jadi, kita akan menginstal Java pada server. Kita dapat men-download dan menginstal dengan menggunakan perintah di bawah ini, setelah instalasi, kita dapat menghapus file sumber.

 # Wget --no-kue --no-check-sertifikat --header "Cookie: gpw_e24 = http% 3A% 2F% 2Fwww.oracle.com% 2F; oraclelicense = menerima-securebackup-cookie" "http: // Download .oracle.com / OTN-pub / java / jdk / 8u73-B02 / jdk-8u73-linux-x64.rpm "
# Yum -y localinstall jdk-8u73-linux-x64.rpm
# Rm ~ / jdk-8u * -linux-x64.rpm 

Memasang Elasticsearch

Graylog2 hanya bekerja dengan pra-2.0 versi Elasticsearch jadi kita akan menginstal 1.7.x. Elasticsearch Kita dapat menginstal paket dengan perintah dibawah dengan menambahkan repo ke repositori yum lokal.

 # Vi /etc/yum.repos.d/elasticsearch.repo
[Elasticsearch-1.7]
name = Elasticsearch repositori paket 1.7.x
baseurl = http: //packages.elastic.co/elasticsearch/1.7/centos
gpgcheck = 1
gpgkey = http: //packages.elastic.co/GPG-KEY-elasticsearch 

Setelah menambahkan repo ke yum lokal, kita perlu menginstal paket menggunakan perintah di bawah ini -

# Yum -y install elasticsearch

Setelah, kita memasang elasticsearch yang kami butuhkan untuk mengedit file konfigurasi.

 # Vi /etc/elasticsearch/elasticsearch.yml 

Cari bagian cluster.name dan menambahkan nama gugus sebagai graylog-server dan juga menemukan bagian network.host dan menambahkan losthost untuk bagian itu sehingga orang lain dapat mengakses Elasticsearch dan menutup

 ....
cluster.name: graylog-server
....
network.host: localhost 

Memulai Elasticsearch

 # Systemctl Restart elasticsearch 

Instalasi Graylog Server

Seperti yang telah kita menginstal semua dependensi kita sekarang akan menginstal Graylog Server.

Pertama, kita akan men-download perangkat lunak server Graylog menggunakan perintah RPM, jalankan perintah di bawah ini untuk mendownload file .rpm

 # Rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-1.3-repository-el7_latest.rpm 

Kami akan menginstal server Graylog menggunakan perintah di bawah ini

 # Yum -y install graylog-server 

Kami perlu untuk menginstal perangkat lunak pwgen untuk menghasilkan kunci rahasia password dalam perangkat lunak.

 # Yum -y install Epel-release
# Yum -y install pwgen 

Sekarang kita akan menghasilkan dan mengkonfigurasi password admin dan kunci rahasia. Harap dicatat bahwa, kunci rahasia dikonfigurasi dalam file server.conf dengan parameter password_secret. Kita bisa menghasilkan kunci acak dan memasukkan kunci ini dalam file Graylogconfiguration dengan perintah di bawah ini

 # SECRET = $ (pwgen -s 96 1)
'S / password_secret =. * / Password_secret =' $ RAHASIA '/' /etc/graylog/server/server.conf # sudo -E sed -i -e 

Password admin telah ditetapkan dengan menciptakan shasum dengan password yang diinginkan dan ditugaskan untuk parameter root_password_sha2 di file konfigurasi.

Di bawah ini adalah perintah untuk membuat password untuk admin -

 # PASSWORD = $ (echo -n sandi | sha256sum | awk '{print $ 1}')
# Sudo -E sed -i -e 's / root_password_sha2 =. * / Root_password_sha2 =' $ PASSWORD '/' /etc/graylog/server/server.conf 

Sekarang kita akan membuat beberapa perubahan dalam file 'server.conf'

 # Vi /etc/graylog/server/server.conf 

Di sini, kita akan mengubah empat tempat untuk menjalankan Graylogserver

Kami akan un-komentar rest_transport_uri yang

 rest_transport_uri = http://127.0.0.1:12900/ 

Kami akan mengubah nilai Elasticserach untuk 1 karena kami hanya memiliki satu Elasticseach bersama.

 elasticsearch_shards = 1 

Ubah elasticsearch_cluster_name untuk graylog-server sebagai nama server

 elasticsearch_cluster_name = graylog-server 

Un-komentar di bawah ini terletak untuk menemukan contoh Elasticsearch ke uni-cast dari multicast.

 elasticsearch_discovery_zen_ping_multicast_enabled = false
elasticsearch_discovery_zen_ping_unicast_hosts = 127.0.0.1:9300
Simpan file dan keluar 

Mulai graylog-server dengan perintah di bawah ini

 # Systemctl mulai graylog-server 

Instalasi Server GraylogWeb

Di bawah ini adalah perintah untuk menginstal graylog-web server

 # Yum -y install graylog-web 

Sekarang, kita akan menghasilkan web antarmuka kunci rahasia dan menambah file web.conf di parameter application.secret.

 # SECRET = $ (pwgen -s 96 1)
'S / aplikasi \ .secret = "" / aplikasi \ .secret = "' $ RAHASIA '" /' /etc/graylog/web/web.conf # sudo -E sed -i -e 

Sekarang edit file web.conf dan membuat beberapa perubahan untuk menjalankan antarmuka web.

 # Vi /etc/graylog/web/web.conf 

Kita perlu mengubah konfigurasi antarmuka web untuk menentukan graylog2-server.urils parameter di file konfigurasi. Seperti yang telah kita dikonfigurasi hanya satu node Graylogserver, nilai harus sesuai dengan rest_listen_uri di Graylogserver file konfigurasi. http://127.0.0.1:12900/

 # Graylog2-server.uris = "http://127.0.0.1:12900/" 

Mulai antarmuka web Graylog dengan perintah di bawah ini -

 # Systemctl Restart graylog-web 

Konfigurasi Graylogto dan Menerima Pesan Syslog.

Masuk ke Graylog Web Interface, buka link di bawah ini di web browser dengan http: // ip-address: 9000 /

Login ke antarmuka menggunakan admin nama pengguna dan password yang kita set di langkah sebelumnya dalam mengkonfigurasi server Graylog.

gralogserver1

Sebuah ikon merah di bagian atas acara pemberitahuan bahwa kita memiliki sebuah node tanpa masukan berjalan. Mari kita tambahkan masukan untuk menerima pesan syslog menggunakan UDP.

Membuat masukan Syslog menggunakan UDP Masukan

Untuk menambahkan input untuk menerima pesan syslog ini, Klik System -> pilih Input -> Syslog UDP -> klik Launch tombol masukan baru

Silahkan masukkan nilai untuk Syslog UDP

Judul: Systemlog

Port: 8514

alamat mengikat: graylog_IP_address

dan akhirnya Klik Launch

gralogserver2

Sekarang server Graylog akan menerima sistem log menggunakan port 8514 dari client atau server

Konfigurasi Rsyslog Kirim Sistem Log untuk Graylog Server

Di sisi Client yang kami butuhkan untuk mengkonfigurasi sehingga akan mengirim sistem log pesan ke Graylogserver dengan perintah di bawah ini

 # Vi /etc/rsyslog.d/90-graylog.conf 

Tambahkan perintah di bawah ini ke file Syslog

 . $ Template GRAYLOGRFC5424, "<% pri%>% protokol-versi%% timestamp ::: tanggal-rfc3339%% HOSTNAME%% aplikasi-nama%% procid%% msg% \ n" * * @graylog_private_IP: 8514; GRAYLOGRFC5424 

Restart rsyslog untuk mengirim log ke Graylogserver

 # Systemctl Restart rsyslog 

Melihat Sumber Graylog pada Server Graylog

Dalam jenis pencarian 'sshd' untuk login sshd di server

Kita bisa melihat 'sshd' log dari semua klien dengan banyak usaha login yang gagal.

gralogserver4

Setelah konfigurasi dan setup dari Graylog Server, kita sekarang dapat melihat log dan analisis sistem log dan kami memiliki banyak fungsi lain di server Graylog, kami dapat mengirimkan jenis lain dari kayu di Graylog dan ekstrak dan memformat log menggunakan Server Graylog yang dicari dan dapat saya lebih terstruktur.