Si të instaloni sistemin e menaxhimit të centralizuar të regjistrave Graylog në Rocky Linux
Graylog është një platformë e lirë dhe me burim të hapur për menaxhimin e regjistrave për kapjen, ruajtjen dhe mundësimin e analizës në kohë reale të të dhënave dhe regjistrave tuaj. Është shkruar në Java dhe është ndërtuar mbi softuer të tjerë me burim të hapur si MongoDB dhe Elasticsearch. Graylog ofron një nga platformat më efikase, më të shpejta dhe fleksibël të menaxhimit të regjistrave të centralizuar. Me Graylog, ju mund të dërgoni dhe analizoni të dhëna të strukturuara dhe të pastrukturuara nga pothuajse çdo burim i të dhënave.
Në këtë tutorial, ju do të konfiguroni menaxhimin e centralizuar të regjistrave duke përdorur Graylog në serverin Rocky Linux. Ky tutorial përfshin instalimin bazë të disa varësive të Graylog si Elasticsearch dhe MongoDB. Për më tepër, do të konfiguroni gjithashtu hyrjen e Graylog dhe do të dërgoni regjistrat nga makina Linux në Serverin Graylog përmes Syslog Ingest.
Parakushtet
Për të ndjekur këtë tutorial, do t'ju nevojiten kërkesat e mëposhtme:
- Një server që ekzekuton Rocky Linux 8.
- Një përdorues jo-root me privilegje sudo/administrator.
- Një mur mbrojtës funksionon dhe aktivizohet.
Instalimi i Java OpenJDK
Serveri Graylog është një server aplikacioni i shkruar kryesisht në Java. Për të instaluar Graylog, do t'ju kërkohet të instaloni Java OpenJDK në sistemin tuaj Rocky Linux. Në kohën e këtij shkrimi, Serveri Graylog kërkonte të paktën Java v8 ose më të lartë.
Në depon e Rocky Linux, ekziston një version i shumëfishtë Java OpenJDK që mund ta instaloni. Ju mund të kontrolloni të gjitha versionet e disponueshme OpenJDK duke përdorur komandën e mëposhtme.
sudo dnf search openjdk
Në këtë demonstrim, ju do të instaloni dhe përdorni Java OpenJDK v11 për Serverin Graylog. Drejtoni komandën dnf më poshtë për të instaluar java OpenJDK në sistemin tuaj Rocky Linux.
Kur ju kërkohet të konfirmoni instalimin, futni y dhe shtypni ENTER.
sudo dnf install java-11-openjdk-devel
Kur instalimi i java OpenJDK të përfundojë, ekzekutoni komandën e mëposhtme java për të kontrolluar dhe verifikuar versionin Java OpenJDK. Ju duhet të shihni OpenJDK v11 të instaluar në sistemin tuaj Rocky Linux.
java version
Instalimi i bazës së të dhënave MongoDB NoSQL
Tani do të instaloni bazën e të dhënave MongoDB NoSQL si varësi për Serverin Graylog. MongoDB përdoret për ruajtjen e të dhënave të Serverit Graylog.
Për të instaluar MongoDB, do t'ju kërkohet të shtoni depon e MongoDB. Më pas, mund të instaloni paketat MongoDB.
Ekzekutoni komandën e mëposhtme për të shtuar depon e MongoDB për sistemin Rocky Linux.
cat <<EOF | sudo tee /etc/yum.repos.d/mongodb-org-6.repo
[mongodb-org-6.0]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/8/mongodb-org/6.0/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-6.0.asc
EOF
Tani ekzekutoni komandën dnf më poshtë për të kontrolluar dhe verifikuar listën e depove të disponueshme në sistemin tuaj. Ju duhet të shihni deponimin \mongodb\ të shtuar.
sudo dnf repolist
Më pas, instaloni paketën MongoDB duke përdorur komandën e mëposhtme dnf. Kur ju kërkohet të konfirmoni instalimin, futni y dhe shtypni ENTER për të vazhduar.
sudo dnf install mongodb-org
Për më tepër, do t'ju kërkohet gjithashtu të konfirmoni çelësin GPG të depove MongoDB. Fut y për të konfirmuar dhe shtuar tastin MongoDB GPG.
nëse instalimi i MongoDB ka përfunduar, ekzekutoni komandën e mëposhtme për të ringarkuar menaxherin systemd dhe për të aplikuar skedarin e ri të shërbimit MongoDB.
sudo systemctl daemon-reload
Tani filloni shërbimin MongoDB me emrin mongod duke përdorur komandën e mëposhtme të sistemit. Më pas, aktivizoni shërbimin mongod që të fillojë automatikisht në fillimin e sistemit.
sudo systemctl enable mongod
sudo systemctl start mongod
Së fundi, ekzekutoni komandën e mëposhtme systemctl për të kontrolluar dhe verifikuar shërbimin mongod. Ju duhet të shihni se shërbimi MongoDB mongod po funksionon dhe është aktivizuar në nisjen e sistemit.
sudo systemctl status mongod
Instalimi i Elasticsearch
Elasticsearch trajton motorin e kërkimit për Stackin e menaxhimit të regjistrave të serverëve Graylog. Në kohën e këtij shkrimi, do t'ju duhet të instaloni Elasticsearch v7.x.
Versioni aktual i Serverit Graylog do të funksionojë vetëm me Elasticsearch v7.x. Nëse instaloni elasticsearch më të fundit si v8.x ose v9.x, do të merrni një gabim.
Tani ekzekutoni komandën e mëposhtme për të konfiguruar depon e Elasticsearch v7.x për sistemin Rocky Linux.
cat <<EOF | sudo tee /etc/yum.repos.d/elasticsearch.repo
[elasticsearch-7.x]
name=Elasticsearch repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
EOF
Drejtoni komandën e mëposhtme për të kontrolluar dhe verifikuar listën e depove në sistemin tuaj. Do të shihni se depoja e Elasticsearch v7.x është shtuar.
sudo dnf repolist
Më pas, instaloni paketën Elasticsearch duke përdorur komandën dnf më poshtë. Kur ju kërkohet të konfirmoni instalimin, futni y për të konfirmuar dhe shtypni ENTER.
sudo dnf install elasticsearch
Gjithashtu, do t'ju kërkohet të shtoni çelësin GPG në depon e Elasticsearch. Fut y për të shtuar tastin GPG. Dhe instalimi do të përfundojë.
Më pas, do t'ju duhet të konfiguroni serverin Elasticsearch për instalimin bazë që do të përdoret nga Graylog Server.
Redaktoni skedarin e parazgjedhur të konfigurimit të Elasticsearch /etc/elasticsearch/elasticsearch.yml duke përdorur komandën e mëposhtme.
sudo nano /etc/elasticsearch/elasticsearch.yml
Shtoni dhe hiqni komentin e mëposhtëm konfigurimin bazë të Elasticsearch.
cluster.name: graylog-rocky8
action.auto_create_index: false
Ruani dhe mbyllni skedarin kur të keni mbaruar.
Për më tepër, mund të konfiguroni gjithashtu alokimin maksimal të memories për serverin Elasticsearch duke redaktuar skedarin /etc/elasticsearch/jvm.options duke përdorur komandën e mëposhtme.
sudo nano /etc/elasticsearch/jvm.options
çkomentoni dhe ndryshoni konfigurimin e paracaktuar si më poshtë. Mund të ndryshoni alokimin maksimal të memories këtu me memorien maksimale të serverit tuaj.
-Xms1g
-Xmx1g
Ruani dhe mbyllni skedarin kur të keni mbaruar.
Tani ekzekutoni komandën e mëposhtme systemctl më poshtë për të ringarkuar menaxherin systemd dhe për të aplikuar një skedar të ri shërbimi për serverin Elasticsearch.
sudo systemctl daemon-reload
Më pas, filloni dhe aktivizoni serverin Elasticsearch duke përdorur komandën e mëposhtme. Shërbimi Elasticsearch do të funksionojë automatikisht në fillimin e sistemit dhe statusi aktual i Elasticsearch tani duhet të funksionojë.
sudo systemctl start elasticsearch
sudo systemctl enable elasticsearch
Së fundi, ekzekutoni komandën e mëposhtme për të kontrolluar shërbimin Elasticsearch dhe sigurohuni që shërbimi po funksionon. Ju duhet të shihni daljen që shërbimi Elasticsearch po funksionon dhe aktivizohet.
sudo systemctl status ealsticsearch
Për më tepër, ju gjithashtu mund të hyni në serverin tuaj Elasticsearch përmes komandës curl më poshtë. Ju duhet të merrni daljen e informacionit bazë për serverin tuaj Elasticsearch, duke përfshirë emrin e grupit, uuuid të grupit, versionin Elasticsearch dhe versionin Lucene (bërthamë e Elasticsearch).
curl localhost:9200
Instalimi i serverit Graylog
Pasi të keni instaluar Java OpenJDK, MongoDB dhe Elasticsearch, tani do të instaloni Serverin Graylog. Para kësaj, do t'ju duhet të konfiguroni depon e Graylog në serverin Rocky Linux. Më pas, mund të filloni të konfiguroni Serverin Graylog, i cili përfshin konfigurimin e vërtetimit të fjalëkalimit për Graylog dhe konfigurimin e adresës http_bind_që do të përdoret nga Graylog Server.
Në kohën e këtij shkrimi, versioni më i fundit i Graylog Server është v4.3. Ekzekutoni komandën e mëposhtme për të shtuar depon e Graylog në serverin tuaj.
sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-4.3-repository_latest.rpm
Kontrolloni listën e depove për Serverin Graylog duke përdorur komandën e mëposhtme. Ju duhet të shihni se depoja e Serverit Graylog është shtuar.
sudo dnf repolist
Më pas, ekzekutoni komandën e mëposhtme dnf për të instaluar paketën Graylog Server. Kur ju kërkohet të konfirmoni instalimin, futni y për të konfirmuar dhe shtypni ENTER.
sudo dnf install graylog-server graylog-integrations-plugins
Gjithashtu, do t'ju kërkohet të shtoni çelësin GPG në depon e Serverit Graylog. Fut y për të shtuar tastin GPG në sistemin tënd dhe shtyp ENTER. Dhe instalimi i Serverit Graylog do të përfundojë.
Tani do të konfiguroni Serverin bazë Graylog. përpara kësaj, ekzekutoni komandën dnf më poshtë për të instaluar paketën pwgen. Fut y kur të kërkohet të konfirmosh instalimin dhe shtyp ENTER.
Paketa pwgen ofron një mjet të linjës komanduese për gjenerimin e sekreteve dhe fjalëkalimeve që do të përdoren për konfigurimin e Serverit Graylog.
sudo dnf install pwgen
Më pas, ekzekutoni komandën e mëposhtme pwgen për të gjeneruar password_secret për Serverin Graylog. Sigurohuni që të kopjoni sekretin e krijuar në shënimin tuaj.
sudo pwgen -N 1 -s 96
Tani ekzekutoni komandën e mëposhtme për të gjeneruar fjalëkalimin hash sha256 të root_password_sha2 për Serverin Graylog. ky fjalëkalim do të përdoret për t'u identifikuar në pultin e Serverit Graylog. Sigurohuni që të përdorni fjalëkalimin e fortë dhe të kopjoni fjalëkalimin hash sha256 të krijuar në shënimin tuaj.
echo -n "Enter Password: " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1
Më pas, modifikoni skedarin e konfigurimit të Serverit Graylog /etc/graylog/server/server.conf duke përdorur komandën e mëposhtme.
sudo nano /etc/graylog/server/server.conf
Ndrysho vlerën e opsionit password_secret dhe root_password_sha2 me fjalëkalimin tënd të krijuar. Përveç kësaj, mund të ndryshoni gjithashtu emrin e parazgjedhur të përdoruesit për t'u identifikuar në Serverin Graylog në opsionin graylog_username.
password_secret = R8zwuO2NDewUcwRFQ0QDm07tn6AppmwThty0aagxOoqMDWNqPJLwrffpz7DdQyQVY1uHq54QwgYMNkZnBLuXQf3B1giq5RKX
root_password_sha2 = a7fdfe53e2a13cb602def10146388c65051c67e60ee55c051668a1c709449111
Tani ndryshoni opsionin http_bind_address me adresën e brendshme IP të serverit tuaj. Gjithashtu, porti i paracaktuar për Serverin Graylog është TCP 9000.
http_bind_address = 0.0.0.0:9000
Ruani dhe mbyllni skedarin kur të keni mbaruar.
Tani ekzekutoni komandën e mëposhtme systemctl për të ringarkuar menaxherin systemd dhe për të aplikuar skedarin e shërbimit Graylog Server.
sudo systemctl daemon-reload
Nisni dhe aktivizoni shërbimin grylog-server duke përdorur komandën systemctl më poshtë. Serveri Graylog tani duhet të funksionojë dhe aktivizohet, i cili do të fillojë automatikisht në nisjen e sistemit.
sudo systemctl enable graylog-server
sudo systemctl start graylog-server
Kontrolloni dhe verifikoni shërbimin grylog-server duke përdorur komandën e mëposhtme. Ju duhet të shihni se rezultati i statusit aktual të Serverit Graylog është duke funksionuar dhe i aktivizuar dhe do të ekzekutohet automatikisht në nisje.
sudo systemctl status graylog-server
Së fundi, do t'ju duhet të shtoni portin 9000 që përdoret nga Serveri Graylog në murin e zjarrit.
Ekzekutoni komandën e mëposhtme firewall-cmd për të shtuar portën 9000 në murin e zjarrit. Më pas, ringarkoni rregullat e murit të zjarrit për të aplikuar ndryshime të reja.
sudo firewall-cmd --add-port=9000/tcp --permanent
sudo firewall-cmd --reload
Vendosja e SELinux
Nëse po ekzekutoni Serverin Graylog me SELinux të aktivizuar në modalitetin e zbatimit, do t'ju duhet të vendosni rregullat SELinux për Serverin Graylog.
Përpara se të menaxhoni SELinux, ekzekutoni komandën dnf më poshtë për të instaluar mjetin e linjës së komandës për menaxhimin e SELinux. Kur ju kërkohet të konfirmoni instalimin, futni y dhe shtypni ENTER.
sudo dnf install policycoreutils policycoreutils-python-utils
Më pas, ekzekutoni komandën e mëposhtme për të shtuar rregullat SELinux për Serverin Graylog, Elasticsearch dhe MongoDB.
sudo setsebool -P httpd_can_network_connect 1
sudo semanage port -a -t http_port_t -p tcp 9000
sudo semanage port -a -t http_port_t -p tcp 9200
sudo semanage port -a -t mongod_port_t -p tcp 27017
Tani mund të hyni në Serverin tuaj Graylog.
Krijo hyrje të re Graylog
Për të qenë në gjendje të merrni regjistrat nga aplikacionet tuaja ose makineritë e klientëve, do t'ju duhet të vendosni një hyrje në Serverin tuaj Graylog. Ka shumë lloje të hyrjeve Graylog që mund të përdorni, kontrolloni Dokumentacionin Graylog për detaje. Hyrja Graylog do të ekzekutohet në protokollin TCP/UDP dhe do të jetë në gjendje të marrë regjistra në formate të shumta si Syslog, GELF, CEF ose RAW. Gjithashtu, ju mund të merrni regjistrat në mënyrë të fshehtë përmes protokollit TCP/HTTPS.
Në këtë demonstrim, ju do të krijoni një hyrje Graylog që do të përdoret për të marrë regjistrat nga klientët e një makinerie Linux. Ky hyrje do të përdorë \Syslog UDP\ dhe do të marrë mesazhe regjistrash nga makina e klientit nëpërmjet protokollit UDP.
Hapni shfletuesin tuaj të internetit dhe vizitoni adresën IP të serverit të ndjekur nga porta e Serverit Graylog 9000 (p.sh. http://192.168.5.100:9000/). Do të shihni faqen e identifikimit të instalimit të Serverit tuaj Graylog.
Për t'u identifikuar në pultin e Serverit të Graylog, futni emrin e përdoruesit dhe fjalëkalimin tuaj. Më pas, kliko Identifikohu.
Tani duhet të shihni dritaren e re të panelit të administrimit të Serverit Graylog.
Për të krijuar një hyrje të re Graylog, klikoni në menynë \Sistemi\ dhe zgjidhni \Inputet\.
Zgjidhni llojin e hyrjes dhe klikoni \Nisni hyrjen e re\. Në këtë shembull, ju do të krijoni një lloj të ri hyrje \Syslog UDP\. Të gjitha makineritë e klientëve Linux do të dërgojnë regjistrat përmes protokollit Syslog UDP në këtë hyrje.
Tani futni detajet e hyrjes suaj të re si më poshtë:
- Titulli: do të përdorim titullin syslog-udp-input.
- Adresa lidhëse: fut adresën e brendshme IP të serverit tënd Graylog ose mund të përdorësh 0.0.0.0 nëse je në rrjetin e brendshëm.
- Port: në këtë shembull, ne do të përdorim portën UDP 5142 për këtë hyrje.
Tani kliko \Ruaj\ për të shtuar hyrjen.
Tani duhet të shihni statusin e hyrjes tuaj Graylog me statusin \punon\. Dhe në fund, duhet të shihni informacione të hollësishme në lidhje me hyrjen tuaj në Graylog.
Së fundi, kthehuni te serveri juaj Graylog dhe ekzekutoni komandën firewall-cmd më poshtë për të shtuar portën UDP 5142 që do të përdoret nga syslog-udp-input.
sudo firewall-cmd --add-port=5142/udp --permanent
sudo firewall-cmd --reload
Dërgimi i regjistrit përmes Ingest Syslog në Serverin Graylog
Ju keni krijuar hyrjen UDP të Graylog Syslog në Serverin Graylog. Tani do të konfiguroni një makinë Linux për të përdorur Rsyslog për të dërguar regjistra në Serverin Graylog. Në këtë shembull, ne do të përdorim makinën klinet Rocky Linux me emrin e hostit \linux-host1\ dhe adresa IP e serverit Graylog është 192.168.5.100.
Lidhuni me kompjuterin tuaj të klientit Linux dhe ekzekutoni komandën e mëposhtme për të kontrolluar shërbimin rsyslog në makinën tuaj linux. Ju duhet të merrni daljen e shërbimit rsyslog në funksion.
sudo systemctl status rsyslog
Më pas, krijoni një skedar të ri konfigurimi shtesë rsyslog që do të përdoret për të dërguar regjistra në Serverin Graylog. Ekzekutoni komandën e mëposhtme për të krijuar një skedar të ri /etc/rsyslog.d/graylog.conf.
sudo nano /etc/rsyslog.d/graylog.conf
Shtoni konfigurimin e mëposhtëm në skedar. Me këtë konfigurim, shërbimi rsyslog në linux-host1 do të dërgojë regjistra në hyrjen e serverit Graylog që funksionon në adresën IP të serverit 192.168.5.100 me portën UDP 5142.
*.*@192.168.5.100:5142;RSYSLOG_SyslogProtocol23Format
Ruani dhe mbyllni skedarin kur të keni mbaruar.
Tani ekzekutoni komandën e mëposhtme systemctl për të rifilluar shërbimin rsyslog dhe për të aplikuar ndryshime të reja në skedarin e konfigurimit. Dhe shërbimi rsyslog do të dërgojë regjistrat e sistemit në Serverin Graylog, ju mund të prisni disa minuta.
sudo systemctl restart rsyslog
Më pas, kthehuni te paneli i administrimit të Serverit Graylog. Më pas, kliko menynë \Kërko\. Tani duhet të shihni regjistrat nga makina linux-host1 dhe të disponueshme në Serverin Graylog.
konkluzioni
Gjatë gjithë këtij tutoriali, ju keni mësuar se si të instaloni Serverin Graylog në serverin Rocky Linux. Kjo përfshin instalimin e disa varësive si Java OpenJDK, Elasticsearch dhe MongoDB. Gjithashtu, ju keni konfiguruar Serverin Graylog në Rocky Linux me SELinux të aktivizuar me modalitetin e zbatimit dhe murin e zjarrit të aktivizuar.
Në fund, tani keni mësuar se si të vendosni Graylog Input me llojin \Syslog UDP\ i cili mund të përdoret si sistemi i centralizuar i menaxhimit të regjistrave për makinat Linux. Gjithashtu, ju keni mësuar se si të dërgoni regjistrat nga makinat Linux në Serverin Graylog nëpërmjet shërbimit Rsyslog. Tani keni vendosur gjithashtu më shumë hyrje për aplikacionet tuaja ose keni shtuar makina të reja Linux në Serverin Graylog.