Tutorial ini akan membantu pengguna untuk menginstal dan menggunakan Graylog di server Ubuntu 20.04 LTS untuk mengumpulkan dan menganalisis data log sistem secara terpusat di satu tempat.
Graylog adalah alat sumber terbuka yang menawarkan platform terintegrasi untuk mengumpulkan, mengindeks, dan menganalisis data log. Sistem pada dasarnya terdiri dari antarmuka web Graylog, server Graylog, node Elasticsearch, dan database Mongo.
Node dapat diskalakan sesuai kebutuhan. Sebuah sistem di mana semuanya digabungkan dalam satu node sudah cukup untuk pengujian. Server Graylog adalah elemen sentral dari arsitektur, yang menangani pengelolaan indeks Elasticsearch dan membentuk lapisan abstraksi. Oleh karena itu, adalah mungkin untuk menukar Elasticsearch dengan sistem lain yang sangat cocok untuk menganalisis data log.
Graylog mendukung berbagai mekanisme input. Secara default, empat format atau protokol berbeda didukung:Syslog, GELF, JSON / REST-URL, dan RAW. syslog adalah standar untuk transmisi pesan log dan sering digunakan oleh komponen sistem.
Hal-hal yang kami perlukan untuk melakukan tutorial ini:
- MongoDB
- ElasticSearch
- Server Graylog
- Pengguna non-root dengan
sudohak - Server Ubuntu dengan 4 Core CPU dan RAM 8 GB
Langkah-Langkah Menginstal Graylog Ubuntu 20.04 LTS
1. Instal dependensi yang diperlukan
Ada beberapa hal yang diperlukan oleh server Graylog untuk diinstal pada Ubuntu 20.04 LTS di antaranya adalah Java, pembuat kata sandi bersama dengan beberapa yang umum. Jalankan perintah di bawah ini untuk menginstal semuanya.
Pertama, jalankan perintah pembaruan sistem
sudo apt update
Kemudian instal paket-paket berikut…
sudo apt-get install apt-transport-https openjdk-11-jre-headless uuid-runtime pwgen
2. Setup MongoDB di Ubuntu 20.04 untuk Graylog
Graylog menggunakan MongoDB untuk menyimpan data, oleh karena itu kita perlu menginstalnya di server kita agar nantinya log yang dihasilkan dapat disimpan di sana untuk analisis lebih lanjut.
Paket yang perlu kita instal MongoDB sudah tersedia di repositori resmi Ubuntu, jadi jalankan saja perintah di bawah ini:
sudo apt install -y mongodb-server
Aktifkan dan mulai layanan Database Server:
sudo systemctl enable --now mongodb
sudo systemctl restart mongod.service
Untuk memeriksa apakah itu berjalan dengan benar tanpa kesalahan, Anda dapat menjalankan:
sudo systemctl status mongodb
3. Instal Pencarian Elastis di server ubuntu 20.04 LTS
Elasticsearch adalah mesin analitik dan pencarian teks lengkap sumber terbuka. Ini juga sangat skalabel dan memungkinkan pengguna untuk menyimpan, menelusuri, dan menganalisis data dalam jumlah besar dengan cepat dan mendekati waktu nyata yang akan membantu di Graylog untuk menangani &menganalisis dengan sejumlah besar log.
Sistem ini tidak tersedia di repo dasar Ubuntu 20.04, oleh karena itu kita perlu menambahkan repositori Elastic Search resmi secara manual.
Tambahkan Kunci GPG:
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
Tambahkan repositori Pencarian Elastis:
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-7.x.list
Perintah untuk Menginstal versi open-source ElasticSearch di Ubuntu 20.04:
sudo apt-get update && sudo apt-get install elasticsearch-oss
Ubah file konfigurasi Elasticsearch untuk menetapkan nama cluster menjadi graylog dan tambahkan action.auto_create_index: false
Untuk ini cukup salin-tempel di bawah ini diberikan seluruh blok perintah dan tekan Enter kunci.
sudo tee -a /etc/elasticsearch/elasticsearch.yml > /dev/null <<EOT cluster.name: graylog action.auto_create_index: false EOT
Aktifkan dan mulai layanan penelusuran Elastis:
sudo systemctl daemon-reload sudo systemctl enable --now elasticsearch sudo systemctl restart elasticsearch.service
4. Perintah untuk Menginstal Graylog Server di Ubuntu 20.04
Unduh repositori Graylog yang tersedia sebagai paket deb.
wget https://packages.graylog2.org/repo/packages/graylog-4.0-repository_latest.deb
Instal:
sudo dpkg -i graylog-4.0-repository_latest.deb
Sekarang, perbarui sistem Anda, sehingga dapat mengenali repositori yang baru ditambahkan untuk mengunduh paket untuk Graylog:
sudo apt-get update
Terakhir, instal
sudo apt-get install graylog-server
Ekstra :Jika Anda juga ingin menginstal Plugin Integrasi atau Plugin Perusahaan, jalankan:
sudo apt install graylog-enterprise-plugins graylog-integrations-plugins graylog-enterprise-integrations-plugins
5. Edit file konfigurasi Graylog untuk mengatur Kata Sandi admin
Ada dua nilai sandi- password_secret dan root_password_sha2 , kita perlu mengonfigurasinya jika tidak, Graylog di Ubuntu 20.04 LTS tidak akan memulai sama sekali.
Kedua nilai ini ada di file konfigurasi Graylog dan apa yang kami tetapkan untuk mereka akan digunakan untuk mengamankan kata sandi pengguna dan masuk ke pengguna admin di antarmuka webnya. Tapi kita tidak bisa menetapkan nilai teks biasa untuk mereka, kita harus membuat hash. Jadi, jalankan:
Setel kunci sandi_rahasia
pwgen -N 1 -s 96
Perintah di atas akan menghasilkan kunci rahasia untuk mengamankan kata sandi pengguna, jadi salin itu dan edit file konfigurasi menggunakan:
sudo nano /etc/graylog/server/server.conf
Sekarang, temukan password_secret = dalam file dan rekatkan kunci rahasia yang disalin di depannya. Seperti yang ditunjukkan pada tangkapan layar di bawah ini.
Simpan file dengan menekan Ctrl + X , Y, dan tekan tombol Enter kunci.
Setel hash root_password_sha2
Nama pengguna default untuk masuk ke antarmuka web Graylog adalah admin , sedangkan kata sandi perlu disetel, itulah yang kami lakukan di sini. Buat hash untuk kata sandi yang ingin Anda atur menggunakan perintah yang diberikan di bawah ini:
echo -n MyPassword | sha256sum
Catatan :Ubah Kata Sandi Saya pada perintah di atas dengan kata sandi yang ingin Anda atur untuk masuk ke antarmuka web Graylog.
Saat Anda menekan tombol Enter kunci setelah menggunakan perintah di atas, jumlah hash akan dihasilkan. Salin.
Sekarang, edit lagi file konfigurasi :
sudo nano /etc/graylog/server/server.conf
Temukan baris: root_password_sha2 dan tempel jumlah hash di depannya, seperti yang ditunjukkan pada tangkapan layar di bawah ini:
Juga, secara default, Graylog hanya dapat diakses menggunakan IP localhost yaitu 127.0.0.1 jadi jika Anda berencana untuk mengakses antarmuka webnya dari jarak jauh, maka ubahlah dengan alamat IP server Anda di file konfigurasi.
Temukan garisnya :http_bind_address, batalkan komentarnya dan ubah 127.0.0.1 dengan alamat IP sistem Anda tempat Anda menginstal greylog.
Simpan file– Ctrl + X, Y dan tekan tombol Enter kunci.
6. Aktifkan dan Mulai Ulang Server Graylog
Kami telah melakukan semua konfigurasi penting, sekarang aktifkan layanan sistem log ini untuk memulai secara otomatis.
sudo systemctl daemon-reload sudo systemctl enable --now graylog-server sudo systemctl restart graylog-server
Periksa apakah itu berjalan tanpa kesalahan atau tidak:
sudo systemctl status graylog-server
Jika Anda berencana untuk mengakses antarmuka web Graylog dari jarak jauh lalu buka juga port 9000 di firewall Ubuntu:
sudo ufw allow 9000
7. Akses antarmuka Web
Buka browser di sistem lokal atau remote Anda yang dapat mengakses alamat Ip server Ubuntu 20.04. Dan ketik http://your-server-ipaddress:9000
Ganti alamat-ip-server-Anda dengan alamat IP sebenarnya dari Server Anda tempat Graylog telah diinstal.
Nama pengguna default adalah admin sedangkan sandi adalah apa yang telah Anda tetapkan di langkah 5 dari artikel ini untuk root_password. Misalnya dalam perintah, kami telah menggunakan MyPassword .
8. Kirim log Sys dari sistem host ke Graylog
Buat file konfigurasi di bawah /etc/rsyslog.d/ untuk memberi tahu sistem ke mana harus mengirim log.
sudo nano /etc/rsyslog.d/90-graylog.conf
Tambahkan baris berikut:
*.* @your-server-ip:5140;RSYSLOG_SyslogProtocol23Format
Ganti ip-server-Anda dengan alamat IP sistem dari mana Anda mengirim log. Jika ini adalah sistem host tempat Anda menginstal Graylog, gunakan alamat IP itu.
Simpan file dengan mengetik Ctrl+X , Y, dan tekan tombol Enter kunci.
Sekarang, tambahkan Input untuk Node di Graylog.
Pada Dasbor Graylog klik Sistem -> Masukan .
Pilih UDP Syslog dan tekan Luncurkan masukan baru tombol.
Pilih simpul dari kotak tarik-turun, diberi beberapa judul (apa pun yang Anda inginkan) ke Input lalu setel port nomor ke 5140 setelah itu scroll ke bawah dan simpan konfigurasi.
Sekarang, klik tombol “Mulai Masukan ” untuk memulai input server.
9. Dasbor Metrik
Setelah Input dari server dimulai, klik Telusuri diberikan di menu Graylog dan Anda akan mulai mendapatkan metrik dan log secara real-time dari server Anda. Selain itu, Anda dapat menyetel frekuensi pembaruan metrik.
Untuk mengetahui lebih lanjut tentang alat manajemen log ini dan tugas konfigurasi lainnya, lihat dokumentasi resmi di mana Anda juga akan menemukan cara untuk menggunakan Nginx/Apache sebagai proxy terbalik dan HTTPS di Graylog.