So installieren Sie das Graylog -Protokollmanagement -Tool auf RHEL -Systemen

Graylog ist eine branchenführende OpenSource-Log-Management-Lösung zum Sammeln, Speichern, Indexieren und Analysieren von Echtzeitdaten aus Anwendungen und einer Vielzahl von Geräten in IT-Infrastrukturen wie Servern, Routern und Firewalls.

Graylog Hilft Ihnen dabei, mehr Einblicke in die Daten zu erhalten, die durch die Kombination mehrerer Suchanfragen nach detaillierter Analyse und Berichterstattung kombiniert werden. Es erkennt auch Bedrohungen und mögliche schändliche Aktivitäten, indem es eine tiefe Analyse der Protokolle aus entfernten Quellen durchführt.

Graylog -Protokollmanagement -Tool

Graylog Enthält Folgendes:

• Der GrayLog -Server - Dies ist der Hauptserver und wird für die Verarbeitung von Protokollen verwendet.
• Die Graylog -Webschnittstelle - Dies ist eine Browseranwendung, die einen Blick auf die Daten und Protokolle gibt, die von mehreren Endpunkten gesammelt wurden.
• MongoDB - Ein NoSQL -Datenbankserver zum Speichern von Konfigurationsdaten.
• ElasticSearch - Dies ist eine kostenlose und Open -Source -Such- und Analyse -Engine, die Rohdaten aus verschiedenen Quellen analysiert und indiziert.

Die Architektur von Graylog akzeptiert jede Art von strukturierten Daten, einschließlich Netzwerkverkehr und Protokolle aus den folgenden:

• Syslog (TCP, UDP, AMQP, Kafka).
• AWS - AWS -Protokolle, CloudTrail & FlowLogs.
• Netflow (UDP).
• Gelf (TCP, UDP, AMQP, Kafka).
• Elch - Beats und Logstash.
• JSON -Pfad von der HTTP -API.

Einige der riesigen Technologieunternehmen, die implementieren Graylog Zu ihren Tech -Stapeln gehören Fiverr, Circleci, CraftBase, Und Bitpanda.

In diesem Handbuch zeigen wir Ihnen, wie Sie die installieren Graylog Protokoll -Management -Tool auf Rhel 8 und rhelbasierte Distributionen wie Almalinux, CentOS Stream, Und Rocky Linux.

Schritt 1: Installieren Sie Epel Repo und Voraussetzungspakete

Zu Beginn benötigen Sie einige wichtige Pakete, die hilfreich sein werden, wenn Sie mit diesem Handbuch zusammenarbeiten. Installieren Sie zuerst die Epel Repository, das eine Reihe von Softwarepaketen bietet Rhel & Rhel Verteilungen.

$ sudo dnf install https: // dl.Fedoraproject.org/pub/epel/epel-release-latest-8.Keinarch.Drehzahl 

Installieren Sie als nächstes die folgenden Pakete, die auf dem Weg erforderlich sind.

$ sudo dnf install -y pwgen wget curl perl-digest-Sha 

Schritt 2: Installieren Sie Java (OpenJDK) in Rhel

Eine der Voraussetzungen für die Installation Graylog Ist Java 8 und spätere Versionen. Hier werden wir die neueste LTS -Veröffentlichung von installieren Java welches ist Java 11 die bereitgestellt werden von OpenJDK 11.

Führen Sie daher den folgenden Befehl aus, um zu installieren OpenJDK.

$ sudo dnf install java-11-openjdk java-11-openjdk-devel -y 

Dies installiert Java Abhängigkeiten und eine Vielzahl anderer Abhängigkeiten.

Überprüfen Sie nach Abschluss der Installation die installierte Version.

$ Java -Version 

Überprüfen Sie Java in Rhel

Schritt 3: Installieren Sie Elasticsearch in RHEL

Elasticsarch ist eine kostenlose und open-Source-Such- und Analyse-Engine, die eine Vielzahl von Daten abwickelt, einschließlich strukturierter, unstrukturierter, numerischer, geospatialer und Textdaten.

Es ist eine Schlüsselkomponente des elastischen Stapels, auch bekannt als ELCH (Elasticsearch, Logstash und Kibana) und wird häufig für seine einfachen Ruhe -APIs, Skalierbarkeit und Geschwindigkeit verwendet.

Graylog erfordert Elasticsarch 6.x oder 7.X. Wir werden installieren Elasticsarch 7.X Dies ist die neueste Veröffentlichung zum Zeitpunkt der Veröffentlichung dieses Handbuchs.

Erstellen die Elasticsarch Repository -Datei.

$ sudo vim /etc /yum.Repos.D/Elasticsarch.Repo 

Fügen Sie als Nächstes die folgenden Codezeilen in die Datei ein.

[Elasticsarch-7.x] name = elasticsearch repository für 7.X -Pakete BaseUrl = https: // Artefakte.elastisch.CO/Pakete/OSS-7.x/yum gpgcheck = 1 gpgkey = https: // artefakte.elastisch.co/gpg-key-elasticsearch enabled = 1 autorefresh = 1 type = rpm-md 

Speichern Sie die Änderungen und beenden Sie.

Als nächstes installieren Sie Elasticsarch Verwenden Sie den DNF -Paketmanager wie gezeigt.

$ sudo dnf install Elasticsearch-oss installieren 

Installieren Sie Elasticsearch in Rhel

Für Elasticsarch arbeiten mit Graylog, Einige Änderungen sind erforderlich. Also öffne die Elasticsarch.YML Datei.

$ sudo vim/etc/elasticsearch/elasticsearch.YML 

Aktualisieren Sie den Clusternamen wie gezeigt auf Graylog.

Cluster.Name: Graylog 

Speichern Sie die Änderungen und beenden Sie.

Laden Sie dann die Systemd Manager -Konfiguration neu.

$ sudo systemctl Daemon-Reload 

Als nächstes aktivieren und starten Sie die Elasticsarch Dienst durch Ausführen der folgenden Befehle.

$ sudo systemctl aktivieren elasticsearch.Service $ sudo systemctl starten elasticsearch.Service 

Aktivieren Sie Elasticsearch in Rhel

Elasticsearch hört auf Port zu 9200 standardmäßig, um zu verarbeiten Http Anfragen. Sie können dies bestätigen, indem Sie a senden Locken Anfrage wie gezeigt.

$ curl -x Holen Sie sich http: // localhost: 9200 

Überprüfen Sie die Elasticsearch in Rhel

Schritt 4: MongoDB in RHEL installieren

Graylog verwendet a MongoDb Datenbankserver zum Speichern von Konfigurationsdaten.

Wir werden installieren MongoDB 4.4, Erstellen Sie jedoch zunächst eine Konfigurationsdatei für MongoDb.

$ sudo vim /etc /yum.Repos.d/mongoDb-org-4.Repo 

Fügen Sie dann die folgende Konfiguration ein.

[mongoDb-org-4] name = mongoDB repository baseUrl = https: // repo.MongoDb.org/yum/redhat/8/mongoDB-org/4.4/x86_64/gpgcheck = 1 enabled = 1 gpgkey = https: // www.MongoDb.org/static/pgp/server-4.4.ASC 

Speichern Sie die Änderungen und beenden Sie.

Als nächstes installieren Sie MongoDb folgendermaßen.

$ sudo dnf install mongodb-org 

Einmal installiert, starten Sie und ermöglichen Sie MongoDB, mit dem Start des Systems zu starten.

$ sudo systemctl starten mongod $ sudo systemctl aktivieren mongod 

Führen Sie den Befehl aus, um die MongoDB -Version zu überprüfen:

$ mongo -Verssion 

Überprüfen Sie MongoDB in Rhel

Schritt 5: Installieren Sie den Graylog -Server in RHEL

Installieren Graylog Durch Ausführen der folgenden Befehle.

$ sudo rpm -uvh https: // pakete.Graylog2.org/repo/pakete/graylog-4.2-repository_latest.RPM $ sudo dnf Installieren Sie Graylog-Server 

Sie können die Installation von überprüfen Graylog wie gezeigt:

$ rpm -qi graylog -server 

Überprüfen Sie Graylog in Rhel

Beginnen Sie jetzt und aktivieren Sie die Graylog Server zum Start der Startzeit.

$ sudo systemctl starten graylog-server.Service $ sudo systemCTL Aktivieren Sie Graylog-Server.Service 

Schritt 6: Konfigurieren Sie den Graylog -Server in RHEL

Für Graylog Um wie erwartet zu funktionieren, sind einige zusätzliche Schritte erforderlich. Sie müssen die folgenden Parameter in der Konfigurationsdatei definieren:

root_password_sha2 password_secret root_username http_bind_address 

Wir werden diese Variablen in der definieren /etc/graylog/server/server.Conf Datei, die die Standardkonfigurationsdatei ist.

Der root_password_sha2 ist das Hash -Passwort für den Stammbenutzer. Um es zu generieren, führen Sie den folgenden Befehl aus. Der [E -Mail geschützt] ist nur ein Platzhalter. Fühlen Sie sich frei, Ihr eigenes Passwort anzugeben.

$ echo -n [E -Mail geschützt] | Shasum -a 256 

Ausgang

68E865AF8DDBEFFC494508BB6181167FCCF0BB7C0CAB421C54EF3067BDD8D85D 

Beachten Sie dieses Passwort und speichern Sie es irgendwo.

Als nächstes erzeugen Sie die password_secret folgendermaßen:

$ pwgen -n 1 -s 96 

Ausgang

T1etSsecy0qe4jig3t6e96a5qlu5whs9p5Slivex9KyBWJC3WKHN4246oqGype4BTLXAAiOCM7LYUSD9BGAONQXKTSTJUQBF 

Beachten Sie dieses Hashed -Passwort erneut.

Öffnen Sie als Nächstes die Graylog -Konfigurationsdatei.

$ sudo vim/etc/graylog/server/server.Conf 

Fügen Sie die Werte ein, für die Sie generiert wurden root_password_sha2 Und password_secret wie gezeigt.

root_username = admin root_password_sha2 = 68e865af8ddbeffc494508bb6181167fccf0bb7c0cab421c54ef3067bdd8d85d password_secret = T1EtSsecY0QE4jIG3t6e96A5qLU5WhS9p5SliveX9kybWjC3WKhN4246oqGYPe4BTLXaaiOcM7LyuSd9bGAonQxkTsTjuqBf 

Zusätzlich machen Sie Graylog von externen Benutzern zugänglich, indem Sie die festlegen http_bind_address Parameter wie folgt.

http_bind_address = 0.0.0.0: 9000 

Konfigurieren Sie auch die Zeitzone für die Graylog Server.

root_timezone = utc 

Speichern und beenden Sie die Konfigurationsdatei.

Um die Änderungen anzuwenden, starten Sie die neu neu Graylog Server.

$ sudo systemctl starten Sie Graylog-Server neu starten.Service 

Sie können aus den Protokolldateien bestätigen und prüfen, ob Graylog läuft wie erwartet.

$ tail -f/var/log/graylog -server/server.Protokoll 

Die folgende Ausgabe in der letzten Zeile zeigt, dass alles in Ordnung ist.

Überprüfen Sie den Graylog -Status in Rhel

Graylog Hört auf Port 9000 Dies bietet Zugriff auf die Webschnittstelle. Öffnen Sie diesen Port also in der Firewall.

$ sudo firewall-cmd --add-port = 9000/tcp --permanent $ sudo Firewall-cmd-Reload 

Schritt 7: Greifen Sie auf Graylog Web UI zu Graylog zu

Zugreifen Graylog, Durchsuchen Sie die folgende URL.

http: // server-ip: 9000 oder http: // domänen-name: 9000 

Melden Sie sich mit Ihrem Benutzernamen -Administrator und dem konfigurierten Kennwort an root_password_sha2 im Server.Conf Datei.

Graylog -Benutzeranmeldung

Sobald Sie angemeldet sind, sollten Sie das folgende Dashboard sehen.

Graylog Dashboard

Von hier aus können Sie mit der Analyse von Daten und Protokollen fortfahren, die aus verschiedenen Datenquellen gesammelt wurden.

Graylog ist weiterhin eine beliebte zentralisierte Log -Management -Lösung für Entwickler und Betriebsteams. Die Analyse der gesammelten Daten liefert tiefgreifende Einblicke in den Arbeitszustand verschiedener Anwendungen und Geräte und hilft dabei, Fehler zu finden und IT -Operationen zu optimieren.

Das ist alles für diesen Leitfaden. In diesem Tutorial haben wir gezeigt, wie man installiert Graylog Server auf rhelbasierten Linux-Verteilungen.