Jak zainstalować Graylog 1.3 / Graylog2 CentOS 7 / RHEL 7

A+ A-

W tym artykule będziemy skonfigurować i zainstalować Graylog 1.3 (która jest również określana jako Graylog2) na CentOS 7, Graylog gromadzi syslog-tych maszyn w centralnej lokalizacji. Graylog jest narzędziem do zarządzania dziennika i analizy, które mogą być wykorzystywane w wielu przypadkach do monitorowania logowania SSH i niezwykłą aktywność w zastosowaniach debugowania i dzienników, zastosowania Elasticsearch, Java i MangoDB.

Graylog funkcje i komponenty

graylog1

GrayLog Server Node: Serwer głównie odbiera i przetwarza wiadomości i komunikuje się z elementów nienależących do serwerów.

Elastyczne węzły wyszukiwania: To będzie przechowywać wiadomości i dzienników.

MangoDB: ta przechowuje metadane.

Interfejsy sieci: Jest to główny interfejs użytkownika.

Wymagania

Dla celów demo, potrzebowaliśmy CentOS 7 serwera z 2 GB pamięci RAM z użytkownik posiadający uprawnienia administratora.

Instalacja MangoDB

Po pierwsze, musieliśmy importować publiczny klucz GPC do RPM. Aby otrzymać klucz publiczny, co potrzebne do uruchomienia polecenia poniżej.

 # Rpm --import https://www.mongodb.org/static/pgp/server-3.2.asc 

Dodawanie źródła repo MangoDB.

 # Vi /etc/yum.repos.d/mango.repo
[MongoDB-org-3.2]
name = MongoDB repozytorium
baseurl = https: //repo.mongodb.org/yum/redhat/$releasever/mongodb-org/3.2/x86_64/
gpgcheck = 1
enabled = 1 

Będziemy zainstalować stabilną wersję MangoDB z serwera

 # Yum install -y MongoDB-org 

Uruchamianie MongoDB

 # Systemctl restart mangod 

Widzimy, że MangoDB jest uruchomiony.

Instalacja Java na serwerze

Teraz powinniśmy zainstalować Javę od Elasticserach i Logstash zarówno wymaga Java. Tak, będziemy instalować Java na serwerze. Możemy pobrać i zainstalować za pomocą polecenia poniżej, po instalacji, możemy usunąć pliki źródłowe.

 # Wget --no-cookies --no-check-certyfikat --header "Cookie: gpw_e24 = http% 3A% 2F% 2F% 2Fwww.oracle.com; oraclelicense = Accept-securebackup Cookie" "http: // pobrania .oracle.com / OTN-pub / java / jdk / 8u73-B02 / jdk-8u73-linux-x64.rpm "
# Yum -y localinstall jdk-8u73-linux-x64.rpm
# Rm ~ / jdk-8U * -linux-x64.rpm 

Instalacja Elasticsearch

Graylog2 działa tylko z pre-2.0 wersji Elasticsearch więc będziemy instalować 1.7.x. Elasticsearch Możemy zainstalować pakiet z poleceniem poniżej dodając do lokalnego repo yum repozytoriach.

 # Vi /etc/yum.repos.d/elasticsearch.repo
[Elasticsearch-1.7]
name = repozytorium Elasticsearch dla pakietów 1.7.x
baseurl = http: //packages.elastic.co/elasticsearch/1.7/centos
gpgcheck = 1
gpgkey = http: //packages.elastic.co/GPG-KEY-elasticsearch 

Po dodaniu do lokalnego repo yum, musimy zainstalować pakiet za pomocą polecenia poniżej -

# Yum -y install elasticsearch

Raz, że zainstalowanie elasticsearch potrzebne do edycji pliku konfiguracyjnego.

 # Vi /etc/elasticsearch/elasticsearch.yml 

Znajdź sekcję cluster.name i dodać nazwę klastra jako graylog-serwer, a także znaleźć network.host sekcji i dodać losthost do tej sekcji, aby inni mogli uzyskać dostęp do Elasticsearch i wyłączania

 ....
cluster.name: graylog-serwer
....
network.host: localhost 

Uruchamianie Elasticsearch

 # Systemctl restart elasticsearch 

Instalacja Graylog Server

Jak już zainstalowane wszystkie zależności będziemy teraz zainstalować Graylog Server.

Po pierwsze, będziemy pobrać oprogramowanie serwera Graylog pomocą polecenia rpm, wykonaj polecenia poniżej, aby pobrać plik .rpm

 # Rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-1.3-repository-el7_latest.rpm 

Będziemy zainstalować serwer Graylog pomocą polecenia poniżej

 # Yum -y install graylog-serwer 

Musieliśmy zainstalować oprogramowanie pwgen do generowania haseł tajnych kluczy w oprogramowaniu.

 # Yum -y install EPEL uwalnianiu
# Yum -y install pwgen 

Teraz będziemy generować i skonfigurować hasło administratora i tajny klucz. Proszę zauważyć, że tajny klucz jest skonfigurowany w pliku server.conf z parametrem password_secret. Możemy generować losowe klawisze i wstawić te klucze w plikach Graylogconfiguration z poniższych poleceń

 # SECRET = $ (pwgen -s 96 1)
# Sudo sed -i -E -e 's / password_secret =. * / Password_secret =' $ TAJNE "/" /etc/graylog/server/server.conf 

Hasło administratora zostało ustawione przez stworzenie shasum z żądanym hasło i przypisany do parametru root_password_sha2 w pliku konfiguracyjnym.

Poniżej znajduje się polecenie, aby utworzyć hasło dla administratora -

 # Password = $ (echo -n hasła | .sha256 | awk '{print $ 1}')
# Sudo sed -i -E -e 's / root_password_sha2 =. * / Root_password_sha2 =' $ password '/' /etc/graylog/server/server.conf 

Teraz zrobimy kilka zmian w plikach "server.conf"

 # Vi /etc/graylog/server/server.conf 

Tutaj będziemy zmieniać cztery miejsca, aby uruchomić Graylogserver

Będziemy un-skomentować rest_transport_uri

 rest_transport_uri = http://127.0.0.1:12900/ 

Będziemy zmienić wartość Elasticserach do 1 jak mamy tylko jedną Elasticseach współdzielony.

 elasticsearch_shards = 1 

Zmień elasticsearch_cluster_name do graylog-serwer jako nazwy serwera

 elasticsearch_cluster_name = graylog-serwer 

Un-komentarz poniżej leży odkryć instancji Elasticsearch do uni-obsadzie multicast.

 elasticsearch_discovery_zen_ping_multicast_enabled = false
elasticsearch_discovery_zen_ping_unicast_hosts = 127.0.0.1:9300
Zapisz plik i wyjdź 

Uruchom graylog-serwer za pomocą polecenia poniżej

 # Systemctl rozpocząć graylog-serwer 

Instalacja serwera GraylogWeb

Poniżej znajduje się polecenie, aby zainstalować serwer graylog-web

 # Yum -y install graylog-web 

Teraz będziemy generować interfejsu WWW tajny klucz i dodać do pliku web.conf w parametrze application.secret.

 # SECRET = $ (pwgen -s 96 1)
# Sudo sed -i -E -e 's / aplikacji \ .secret = "" / application \ .secret = "' $ SECRET" / "/etc/graylog/web/web.conf 

Teraz otwórz plik web.conf i wprowadzić pewne zmiany, aby uruchomić interfejs WWW.

 # Vi /etc/graylog/web/web.conf 

Musimy zmienić konfigurację interfejsu WWW, aby określić parametr graylog2-server.urils w plikach konfiguracyjnych. Jak już skonfigurowany tylko jeden węzeł Graylogserver wartość powinna odpowiadać rest_listen_uri w pliku konfiguracyjnym Graylogserver. http://127.0.0.1:12900/

 # Graylog2-server.uris = "http://127.0.0.1:12900/" 

Uruchom interfejs WWW Graylog pomocą polecenia poniżej -

 # Systemctl restart graylog-web 

Konfiguracja Graylogto i odbieranie komunikatów syslog.

Zaloguj się do Graylog Web Interface, otwórz poniższy link w przeglądarce internetowej http: // adres IP: 9000 /

Logowanie do interfejsu używając nazwę użytkownika i hasło, które możemy ustawić w poprzednich krokach w konfiguracji serwera Graylog.

gralogserver1

Czerwona ikona na górze powiadomień show, że mamy węzeł bez wejść do biegania. Dodajmy wejście do odbierania wiadomości syslog przy użyciu protokołu UDP.

Tworzenie wejście Syslog korzystając Wejście UDP

Aby dodać dane wejściowe do odbierania komunikatów syslog, kliknij na System -> wybierz Wejścia -> Syslog UDP -> kliknij na uruchamianie nowego przycisku wejściowego

Proszę wprowadzić wartości dla Syslog UDP

Tytuł: systemlog

Port: 8514

Bind adres: graylog_IP_address

a na koniec kliknij Uruchom

gralogserver2

Teraz serwer Graylog otrzyma logów systemowych za pomocą portu 8514 z klientem lub serwerem

Konfiguracja rsyslog wysłać logi systemowe, aby Graylog Server

Po stronie klienta, co potrzebne, aby skonfigurować tak, że będzie wysyłać logach systemowych wiadomości do Graylogserver z poniższych poleceń

 # Vi /etc/rsyslog.d/90-graylog.conf 

Dodaj poniżej komendy do pliku Syslog

 . $ Template GRAYLOGRFC5424 "<% pri%>% protokół wersja%% timestamp ::: data-rfc3339%%%% HOSTNAME app-name%%%% procid msg% \ n" * * @graylog_private_IP: 8514; GRAYLOGRFC5424 

Uruchom ponownie rsyslog wysłać logi do Graylogserver

 # Systemctl restart rsyslog 

Przedstawiamy Źródła Graylog na serwerze Graylog

W typie wyszukiwania 'sshd' do logowania na serwerze sshd

Widzimy dzienniki 'sshd' od wszystkich klientów z wielu nieudanych prób logowania.

gralogserver4

Po konfiguracji i ustawienia Graylog Server, możemy teraz zobaczyć dzienniki i analiza logów systemowych i mamy wielu innych funkcji w serwerze Graylog, możemy wysłać inny rodzaj kłód w Graylog i wyodrębnić i sformatować dzienniki pomocą serwer Graylog które można przeszukiwać i może mnie bardziej zorganizowany.