Graylog adalah perangkat lunak manajemen log sumber terbuka dan gratis yang dapat digunakan untuk memantau log sistem jaringan dari server pusat. Ini menggunakan Elasticsearch untuk menyimpan data log dan menyediakan kemampuan pencarian, dan MongoDB untuk menyimpan informasi meta. Ini membantu Anda memantau, mencari, dan menganalisis sejumlah besar data ke dalam format yang mudah dibaca.
Dalam tutorial ini, kami akan menunjukkan cara menginstal Graylog di server Ubuntu 20.04.
Prasyarat
- Server yang menjalankan Ubuntu 20.04.dengan RAM minimal 4GB
- Kata sandi root dikonfigurasikan.
Memulai
Pertama, Anda perlu memperbarui paket sistem Anda ke versi terbaru. Anda dapat memperbarui semuanya dengan perintah berikut:
apt-get update -y
Setelah memperbarui semua paket, Anda juga perlu menginstal beberapa dependensi di server Anda. Anda dapat menginstal semuanya dengan perintah berikut:
apt-get install apt-transport-https gnupg2 uuid-runtime pwgen curl dirmngr -y
Setelah semua dependensi yang diperlukan diinstal, Anda dapat melanjutkan ke langkah berikutnya.
Instal Java
Graylog membutuhkan Java untuk diinstal di server Anda. Jika belum terinstal, Anda dapat menginstalnya dengan perintah berikut:
apt-get install openjdk-11-jre-headless -y
Setelah Java diinstal, Anda dapat memverifikasi versi Java yang diinstal dengan menjalankan perintah berikut:
java -versi
Anda akan mendapatkan output berikut:
openjdk versi "11.0.8" 2020-07-14OpenJDK Runtime Environment (build 11.0.8+10-post-Ubuntu-0ubuntu120.04)OpenJDK 64-Bit Server VM (build 11.0.8+10-post-Ubuntu -0ubuntu120.04, mode campuran, berbagi)
Setelah selesai, Anda dapat melanjutkan ke langkah berikutnya.
Instal dan Konfigurasi Elasticsearch
Graylog menggunakan Elasticsearch untuk menyimpan log yang berasal dari sumber daya eksternal. Jadi, Anda perlu menginstal Elasticsearch di sistem Anda.
Secara default, versi terbaru dari Elasticsearch tidak tersedia di repositori default Ubuntu. Jadi, Anda perlu menambahkan repositori Elasticsearch di sistem Anda.
Pertama, unduh dan tambahkan kunci GPG Elasticsearch dengan perintah berikut:
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key tambahkan -
Selanjutnya, tambahkan repositori Elasticsearch dengan perintah berikut:
echo "deb https://artifacts.elastic.co/packages/oss-6.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-6.x.list
Selanjutnya, perbarui repositori dan instal Elasticsearch dengan perintah berikut:
apt-get update -y
apt-get install elasticsearch-oss -y
Setelah menginstal Elasticsearch, Anda perlu mengedit file konfigurasi Elasticsearch dan menentukan nama cluster. Anda dapat melakukannya dengan perintah berikut:
nano /etc/elasticsearch/elasticsearch.yml
Tentukan nama cluster Anda menjadi greylog dan tambahkan baris lain seperti yang ditunjukkan di bawah ini:
cluster.name:greylogaction.auto_create_index:false
Simpan dan tutup file setelah Anda selesai. Kemudian, mulai layanan Elasticsearch dan aktifkan untuk memulai saat boot dengan perintah berikut:
systemctl daemon-reload
systemctl start elasticsearch
systemctl aktifkan elasticsearch
Anda juga dapat memverifikasi status layanan Elasticsearch dengan perintah berikut:
systemctl status elasticsearch
Anda akan mendapatkan output berikut:
? elasticsearch.service - Elasticsearch Dimuat:dimuat (/lib/systemd/system/elasticsearch.service; dinonaktifkan; preset vendor:diaktifkan) Aktif:aktif (berjalan) sejak Sabtu-09-05 08:41:18 UTC; 9 detik yang lalu Dokumen:http://www.elastic.co PID Utama:7085 (java) Tugas:17 (batas:2353) Memori:1.1G CGroup:/system.slice/elasticsearch.service ??7085 /bin/java - Xms1g -Xmx1g -XX:+UseConcMarkSweepGC -XX:CMSInitiatingOccupancyFraction=75 -XX:+UseCMSInitiatingOccupancyOnly ->05 Sep 08:41:18 ubuntu2004 systemd[1]:Memulai Elasticsearch.
Sekarang, verifikasi respons Elasticcsearch dengan perintah berikut:
curl -X DAPATKAN http://localhost:9200
Anda akan mendapatkan output berikut:
{ "name" :"vzg8H4j", "cluster_name" :"graylog", "cluster_uuid" :"6R9SlXxNSUGe6aclcJa9VQ", "version" :{ "number" :"6.8.12", "build_flavor" :"oss" , "build_type" :"deb", "build_hash" :"7a15d2a", "build_date" :"2020-08-12T07:27:20.804867Z", "build_snapshot" :false, "lucene_version" :"7.7.3", "minimum_wire_compatibility_version" :"5.6.0", "minimum_index_compatibility_version" :"5.0.0" }, "tagline" :"Anda Tahu, untuk Pencarian"} Instal Server MongoDB
Graylog menggunakan MongoDB sebagai database. Jadi, Anda perlu menginstal database MongoDB ke server Anda. Anda dapat menginstalnya dengan perintah berikut:
apt-get install mongodb-server -y
Setelah MongoDB terinstal, mulai layanan MongoDB dan aktifkan untuk memulai pada sistem reboot dengan perintah berikut:
systemctl start mongodb
systemctl aktifkan mongodb
Setelah selesai, Anda dapat melanjutkan ke langkah berikutnya.
Instal dan Konfigurasi Graylog
Secara default, paket Graylog tidak tersedia di repositori default Ubuntu. Jadi, Anda perlu menginstal repositori greylog ke server Anda.
Anda dapat mengunduh paket repositori Graylog dengan perintah berikut:
wget https://packages.graylog2.org/repo/packages/graylog-3.3-repository_latest.deb
Setelah unduhan selesai, instal paket yang diunduh dengan perintah berikut:
dpkg -i greylog-3.3-repository_latest.deb
Selanjutnya, perbarui repositori dan instal server Graylog dengan perintah berikut:
apt-get update -y
apt-get install greylog-server -y
Setelah menginstal server Graylog, Anda perlu membuat rahasia untuk mengamankan kata sandi pengguna. Anda dapat membuatnya dengan perintah berikut:
pwgen -N 1 -s 96
Anda akan melihat output berikut:
Wv4VQWCAA9sRbL7pxPeY7tb9lSo50esEWgNXxXHypx0Og3CezMmQLdF2QzQdRSIXmNXKINjRvZpPTrvZv4k4NlJrFYTfOc3c
Selanjutnya, Anda juga perlu membuat kata sandi yang aman untuk pengguna admin Graylog. Anda akan memerlukan kata sandi ini untuk masuk ke antarmuka web Graylog. Anda dapat membuatnya dengan perintah berikut:
echo -n kata sandi | sha256sum
Anda akan melihat output berikut:
5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8 -
Sekarang, edit file konfigurasi utama Graylog dan tentukan kedua kata sandi:
nano /etc/graylog/server/server.conf
Rekatkan kedua kata sandi yang telah Anda buat di atas seperti yang ditunjukkan di bawah ini:
Selanjutnya, Anda juga perlu menentukan alamat pengikatan server Anda seperti yang ditunjukkan di bawah ini:
http_bind_address =127.0.0.1:9000
Simpan dan tutup file ketika Anda selesai kemudian mulai layanan Graylog dan aktifkan untuk memulai saat reboot sistem dengan perintah berikut:
systemctl daemon-reload
systemctl start greylog-server
systemctl aktifkan greylog-server
Selanjutnya, Anda dapat memverifikasi status server Graylog menggunakan perintah berikut:
systemctl status greylog-server
Anda akan melihat output berikut:
? greylog-server.service - Server Graylog Dimuat:dimuat (/lib/systemd/system/graylog-server.service; dinonaktifkan; preset vendor:diaktifkan) Aktif:aktif (berjalan) sejak Sat 2020-09-05 08:50:16 UTC; 15 menit yang lalu Dokumen:http://docs.graylog.org/ PID Utama:8693 (graylog-server) Tugas:156 (batas:2353) Memori:865.0M CGroup:/system.slice/graylog-server.service ??8693 /bin/sh /usr/share/graylog-server/bin/graylog-server ??8726 /usr/bin/java -Xms1g -Xmx1g -XX:NewRatio=1 -server -XX:+ResizeTLAB -XX:+UseConcMarkSweepGC - XX:+CMSConcurrentMTEnabled -XX>05 Sep 08:50:16 ubuntu2004 systemd[1]:Memulai server Graylog.
Anda juga dapat memverifikasi log server Graylog dengan perintah berikut:
tail -f /var/log/graylog-server/server.log
Setelah server Graylog berhasil dimulai, Anda akan mendapatkan output berikut:
2020-09-05T08:51:36.473Z INFO [ServerBootstrap] Layanan dimulai, waktu startup dalam ms:{InputSetupService [RUNNING]=59, JobSchedulerService [RUNNING]=105, GracefulShutdownService [RUNNING]=106, OutputSetupService [RUNNING ]=110, BufferSynchronizerService [RUNNING]=111, UrlWhitelistService [RUNNING]=153, JournalReader [RUNNING]=166, KafkaJournal [RUNNING]=222, MongoDBProcessingStatusRecorderService [RUNNING]=240, ConfigurationEtagService [RUNNING]=259, EtagService [RUNNING] =302, StreamCacheService [RUNNING]=306, LookupTableService [RUNNING]=376, PeriodicalsService [RUNNING]=655, JerseyService [RUNNING]=58701}05-09-2020T08:51:36.477Z INFO [ServerBootstrap] Server Graylog aktif dan berjalan . Pada titik ini, server Graylog dimulai dan mendengarkan pada port 9000.
Konfigurasikan Nginx sebagai Proxy Terbalik untuk Graylog
Selanjutnya, Anda perlu menginstal dan mengkonfigurasi Nginx sebagai proxy terbalik untuk mengakses server Graylog.
Pertama, instal server Nginx dengan perintah berikut:
apt-get install nginx -y
Setelah menginstal server Nginx, buat file konfigurasi virtual host Nginx baru dengan perintah berikut:
nano /etc/nginx/sites-available/graylog.conf
Tambahkan baris berikut:
server { dengarkan 80; nama_server graylog.example.org; lokasi / { proxy_set_header Host $http_host; proxy_set_header X-Diteruskan-Host $host; proxy_set_header X-Forwarded-Server $host; proxy_set_header X-Diteruskan-Untuk $proxy_add_x_forwarded_for; proxy_set_header X-Graylog-Server-URL http://$server_name/; proxy_pass http://127.0.0.1:9000; }} Simpan dan tutup file setelah Anda selesai. Kemudian, verifikasi Nginx untuk kesalahan sintaks dengan perintah berikut:
nginx -t
Anda akan mendapatkan output berikut:
nginx:file konfigurasi /etc/nginx/nginx.conf sintaksnya oknginx:file konfigurasi /etc/nginx/nginx.conf tes berhasil
Selanjutnya, aktifkan file konfigurasi virtual host Nginx dengan perintah berikut:
ln -s /etc/nginx/sites-available/graylog.conf /etc/nginx/sites-enabled/
Terakhir, restart layanan Nginx untuk menerapkan perubahan:
systemctl restart nginx
Selanjutnya, verifikasi status Graylog dengan perintah berikut:
systemctl status nginx
Anda akan mendapatkan output berikut:
? nginx.service - Server web berkinerja tinggi dan server proxy terbalik Dimuat:dimuat (/ lib/systemd/system/nginx.service; diaktifkan; preset vendor:diaktifkan) Aktif:aktif (berjalan) sejak Sab 2020-09-05 09 :07:50 UTC; 20 detik yang lalu Dokumen:man:nginx(8) Proses:9408 ExecStartPre=/usr/sbin/nginx -t -q -g daemon aktif; master_proses aktif; (kode=keluar, status=0/SUCCESS) Proses:9419 ExecStart=/usr/sbin/nginx -g daemon aktif; master_proses aktif; (kode=keluar, status=0/SUCCESS) PID Utama:9423 (nginx) Tugas:3 (batas:2353) Memori:10,2M CGroup:/system.slice/nginx.service ??9423 nginx:proses master /usr/ sbin/nginx -g daemon aktif; master_proses aktif; ??9424 nginx:proses pekerja ??9425 nginx:proses pekerja05 Sep 09:07:50 ubuntu2004 systemd[1]:Memulai server web berkinerja tinggi dan server proxy terbalik...05 Sep 09:07:50 ubuntu2004 systemd[ 1]:Memulai Server web berkinerja tinggi dan server proxy terbalik.
Mengakses Antarmuka Web Graylog
Sekarang, buka browser web Anda dan ketik URL http://graylog.example.com. Anda akan diarahkan ke halaman login Graylog seperti gambar di bawah ini:
Berikan nama pengguna, kata sandi admin Anda, dan klik Masuk tombol. Anda akan melihat dasbor Graylog di halaman berikut:
Sekarang, klik Sistem>> Ikhtisar . Anda akan melihat status server Graylog di halaman berikut:
Kesimpulan
Selamat! Anda telah berhasil menginstal dan mengkonfigurasi server Graylog dengan Nginx sebagai proxy terbalik di Ubuntu 20.04. Anda sekarang dapat menjelajahi Graylog dan membuat input untuk menerima log RSyslog dari sumber eksternal. Jangan ragu untuk bertanya kepada saya jika Anda memiliki pertanyaan.