Graylog adalah alat manajemen log sumber terbuka yang membantu Anda mengumpulkan, mengindeks, dan menganalisis log mesin apa pun secara terpusat. Panduan ini berfokus pada penginstalan Graylog di Ubuntu 18.04 / Ubuntu 16.04.
Komponen
MongoDB – Bertindak sebagai database, menyimpan konfigurasi dan informasi meta.
Elasticsearch – Ini menyimpan pesan log dan menawarkan fasilitas pencarian. Disarankan untuk mengalokasikan lebih banyak memori dan menggunakan disk SAS atau SAN untuk node Elasticsearch. Di sini, tempat semua pencarian Anda terjadi.
Server Graylog – Pengurai Log. Ini mengumpulkan log dari berbagai input dan memberikan output ke antarmuka web bawaan untuk mengelola log.
Prasyarat
Seperti yang Anda ketahui, Elasticsearch adalah aplikasi berbasis java. Instal OpenJDK atau Oracle JDK di mesin Anda untuk melangkah lebih jauh.
Di sini, saya akan menggunakan OpenJDK 8.
sudo apt update sudo apt install -y apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen curl dirmngr
Verifikasi versi Java.
java -version
Keluaran:
openjdk version "1.8.0_191" OpenJDK Runtime Environment (build 1.8.0_191-8u191-b12-2ubuntu0.18.04.1-b12) OpenJDK 64-Bit Server VM (build 25.191-b12, mixed mode)
Instal Elasticsearch
Elasticsearch adalah salah satu komponen utama yang memerlukan Graylog untuk dijalankan, bertindak sebagai server pencarian, menawarkan pencarian dan analitik terdistribusi secara real-time dengan antarmuka web RESTful.
Elasticsearch menyimpan semua log yang dikirim oleh server Graylog dan menampilkan pesan setiap kali pengguna meminta melalui antarmuka web bawaan.
Unduh dan instal kunci penandatanganan GPG.
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
Siapkan repositori Elasticsearch dengan menjalankan perintah di bawah ini.
echo "deb https://artifacts.elastic.co/packages/6.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-6.x.list
Perbarui cache repositori dan instal paket Elasticsearch.
sudo apt update sudo apt install -y elasticsearch
Jadikan layanan Elasticsearch untuk memulai secara otomatis saat startup sistem.
sudo systemctl enable elasticsearch
Satu-satunya hal yang penting adalah menetapkan nama cluster sebagai graylog . Edit file konfigurasi Elasticsearch dan perbarui sesuai dengan itu.
sudo nano /etc/elasticsearch/elasticsearch.yml
Atur nama cluster seperti di bawah ini.
cluster.name: graylog
Mulai layanan Elasticsearch untuk membaca konfigurasi baru.
sudo systemctl restart elasticsearch
Tunggu setidaknya satu menit agar Elasticsearch dimulai ulang sepenuhnya. Elastisearch sekarang harus mendengarkan pada 9200 untuk memproses permintaan HTTP. Gunakan CURL untuk memeriksa respons.
curl -X GET http://localhost:9200
Keluaran:
Pastikan nama cluster ditampilkan sebagai graylog .
{
"name" : "bgVbYrc",
"cluster_name" : "graylog",
"cluster_uuid" : "-wECQlwnSZWftd_XdWSz-g",
"version" : {
"number" : "6.6.1",
"build_flavor" : "default",
"build_type" : "deb",
"build_hash" : "1fd8f69",
"build_date" : "2019-02-13T17:10:04.160291Z",
"build_snapshot" : false,
"lucene_version" : "7.6.0",
"minimum_wire_compatibility_version" : "5.6.0",
"minimum_index_compatibility_version" : "5.0.0"
},
"tagline" : "You Know, for Search"
}
Opsional: Uji kesehatan cluster Elasticsearch.
curl -XGET 'http://localhost:9200/_cluster/health?pretty=true'
Keluaran:
Pastikan output menghasilkan status cluster sebagai hijau .
{
"cluster_name" : "graylog",
"status" : "green",
"timed_out" : false,
"number_of_nodes" : 1,
"number_of_data_nodes" : 1,
"active_primary_shards" : 0,
"active_shards" : 0,
"relocating_shards" : 0,
"initializing_shards" : 0,
"unassigned_shards" : 0,
"delayed_unassigned_shards" : 0,
"number_of_pending_tasks" : 0,
"number_of_in_flight_fetch" : 0,
"task_max_waiting_in_queue_millis" : 0,
"active_shards_percent_as_number" : 100.0
}
Instal MongoDB
Unduh dan instal MongoDB versi terbaru dari situs web resmi. Impor kunci publik di terminal untuk memulai.
sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 9DA31620334BD75D9DCB49F368818C72E52529D4
Tambahkan repositori mongodb dengan membuat /etc/apt/sources.list.d/mongodb-org.list file menggunakan perintah berikut.
### Ubuntu 18.04 ### echo "deb [ arch=amd64 ] https://repo.mongodb.org/apt/ubuntu bionic/mongodb-org/4.0 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-4.0.list ### Ubuntu 16.04 ### echo "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/4.0 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-4.0.list
Instal MongoDB menggunakan perintah berikut.
sudo apt update sudo apt install -y mongodb-org
Jalankan MongoDB dan aktifkan pada sistem start-up.
sudo systemctl start mongod sudo systemctl enable mongod
Instal Graylog
Graylog Server menerima dan memproses pesan log dan kemudian menampilkannya untuk permintaan yang datang dari antarmuka web greylog.
Unduh dan Instal repositori graylog 3.x.
wget https://packages.graylog2.org/repo/packages/graylog-3.0-repository_latest.deb sudo dpkg -i graylog-3.0-repository_latest.deb
Perbarui cache repositori.
sudo apt update
Instal server Graylog menggunakan perintah berikut.
sudo apt install -y graylog-server
Konfigurasi Graylog
Anda harus mengatur rahasia untuk mengamankan kata sandi pengguna. Gunakan perintah pwgen untuk hal yang sama.
pwgen -N 1 -s 96
Keluaran:
fGoTI07CooB6xNy5sdPVSKSuq6QSu2QyWf6G9z3haolgwbERTQ9ZbfbF6hxRYbJMMAlEZX7CXHxJLBkNyfM0420u8aFuZy9M
Edit server.conf file untuk memulai konfigurasi greylog.
sudo nano /etc/graylog/server/server.conf
Tempatkan rahasia seperti di bawah ini.
password_secret = fGoTI07CooB6xNy5sdPVSKSuq6QSu2QyWf6G9z3haolgwbERTQ9ZbfbF6hxRYbJMMAlEZX7CXHxJLBkNyfM0420u8aFuZy9M
Selanjutnya adalah mengatur hash (sha256) password untuk root user (jangan bingung dengan sistem user, root user greylog adalah admin).
Anda akan memerlukan kata sandi ini untuk masuk ke antarmuka web Graylog. Kata sandi admin tidak dapat diubah menggunakan antarmuka web. Jadi, Anda harus mengedit variabel ini untuk disetel.
Ganti sandi Anda dengan pilihan Anda.
echo -n yourpassword | sha256sum
Keluaran:
e3c652f0ba0b4801205814f8b6bc49672c4c74e25b497770bb89b22cdeb4e951
Edit server.conf file lagi.
sudo nano /etc/graylog/server/server.conf
Tempatkan kata sandi hash.
root_password_sha2 = e3c652f0ba0b4801205814f8b6bc49672c4c74e25b497770bb89b22cdeb4e951
Anda dapat mengatur pengguna admin alamat email.
root_email = "[email protected]"
Setel zona waktu pengguna root (admin).
root_timezone = UTC
Tetapkan hanya satu master node dengan mendefinisikan variabel di bawah ini. Jika Anda menambahkan node Graylog kedua, setel ini ke false untuk menjadikan node kedua sebagai slave karena node Master melakukan beberapa tugas berkala yang tidak akan dilakukan node slave.
is_master = true
Atur jumlah pesan log yang akan disimpan per indeks; disarankan untuk memiliki beberapa indeks yang lebih kecil daripada yang lebih besar.
elasticsearch_max_docs_per_index = 20000000
Parameter berikut mendefinisikan memiliki jumlah total indeks jika jumlah ini tercapai indeks lama akan dihapus.
elasticsearch_max_number_of_indices = 20
Pengaturan pecahan bergantung pada jumlah node di cluster Elasticsearch tertentu. Jika Anda hanya memiliki satu simpul, tetapkan sebagai 1.
elasticsearch_shards = 1
Pengaturan ini menentukan jumlah replika untuk indeks Anda. Jika Anda hanya memiliki satu node di cluster Elasticsearch, maka setel sebagai 0.
elasticsearch_replicas = 0
Mengatur antarmuka web Graylog
Dari versi 2.x, antarmuka web dilayani langsung oleh server Graylog. Konfigurasikan antarmuka web Graylog dengan mengedit server.conf berkas.
sudo nano /etc/graylog/server/server.conf
Perbarui entri di bawah ini dengan alamat ip sistem Anda dari mana Anda akan mengakses antarmuka web Graylog.
http_bind_address = your-server-ip:9000
Mulai ulang layanan Graylog.
sudo systemctl restart graylog-server
Jadikan server Graylog untuk memulai secara otomatis saat startup sistem.
sudo systemctl enable graylog-server
Anda dapat memeriksa log startup server, dan akan berguna bagi Anda untuk memecahkan masalah Graylog jika terjadi masalah.
sudo tail -f /var/log/graylog-server/server.log
Saat memulai server greylog dengan sukses, Anda akan mendapatkan pesan berikut di file log.
2019-02-22T10:07:49.398+05:30 INFO [ServerBootstrap] Graylog server up and running.
Akses Graylog
Antarmuka web sekarang akan mendengarkan pada port 9000, arahkan browser Anda ke
http://ip.add.re.ss:9000Masuk dengan nama pengguna admin dan sandi yang Anda konfigurasikan di root_password_sha2 di server.conf .
Setelah Anda masuk, Anda akan melihat halaman memulai.
Klik Sistem>> Ringkasan untuk mengetahui status server Graylog.
Buat Masukan Graylog
Masukan Graylog perlu dikonfigurasi untuk menerima log dari sumber eksternal, yaitu syslog atau sistem logging apa pun.
Untuk contoh ini, kami akan menyiapkan input untuk menerima log dari syslog pada nomor port UDP 1514. Karena jika Anda mulai mencoba input pada salah satu port yang diistimewakan, nomor port TCP/UDP apa pun di bawah 1024, Anda akan melihat izin ditolak kesalahan dalam log Graylog.
Jadi, kita akan membuat input untuk memulai pada port 1514.
Klik Sistem >> Masukan >> pilih Syslog UDP lalu klik Luncurkan input baru.
Isi dengan nilai lalu klik Simpan.
Simpul: Pilih Node Graylog Anda
Judul: Beri nama masukan Anda
Alamat pengikatan: 0.0.0.0 (Biarkan yang default)
Port: 1514
Konfigurasi Rsyslog
Setelah Anda membuat input, konfigurasikan Rsyslog atau teruskan log sistem apa pun ke server Graylog Anda.
Edit file konfigurasi RSyslog.
sudo nano /etc/rsyslog.conf
Konfigurasi khas Rsyslog akan terlihat seperti di bawah ini untuk mengirim log pada UDP 1514.
*.info;mail.none;authpriv.none;cron.none @192.168.1.10:1514
Mulai ulang layanan Rsyslog untuk mengirim log.
systemctl restart rsyslog
Melihat Log menggunakan Graylog
Tunggu beberapa menit. Anda harus mulai menerima pesan log dari mesin klien saat acara dibuat.
Tangkapan layar berikut menunjukkan log yang diterima oleh Graylog (Konsol Graylog >> Penelusuran h ).
Kesimpulan
Anda telah berhasil menginstal Graylog 3.0 di Ubuntu 18.04 / Ubuntu 16.04 dan mengonfigurasi Graylog untuk menerima log Rsyslog dari sumber eksternal. Sebagai bacaan lebih lanjut, Anda dapat mencoba mengonfigurasi Nginx atau Apache sebagai proxy terbalik dan menyiapkan HTTPS untuk antarmuka web Graylog.