Cara Install Graylog di CentOS 8 / RHEL 8

Graylog adalah alat manajemen log sumber terbuka yang membantu Anda mengumpulkan, menyimpan, dan menganalisis log mesin di lokasi terpusat.

Penyiapan Graylog

Untuk menyiapkan Graylog di lingkungan Anda, Anda memerlukan perangkat lunak di bawah ini.

1. MongoDB – Menyimpan konfigurasi dan informasi meta.
2. Elasticsearch – Menyimpan pesan log yang diterima dari server Graylog dan menyediakan fasilitas untuk mencarinya kapan pun diperlukan. Elasticsearch adalah penjual sumber daya seperti halnya pengindeksan data, jadi alokasikan lebih banyak memori dan gunakan disk SAS atau SAN.
3. Server Graylog – Mengurai log yang berasal dari berbagai masukan dan menyediakan Antarmuka Web bawaan untuk menangani log tersebut.

Panduan ini akan membantu Anda menginstal Graylog di CentOS 8 / RHEL 8.

Prasyarat

Repositori EPEL

Kita perlu mengaktifkan repositori EPEL untuk mengunduh dan menginstal utilitas yang diperlukan.

Instal Paket

Anda perlu menginstal paket-paket di bawah ini untuk instalasi Graylog.

dnf install -y wget pwgen perl-Digest-SHA

Instal Java

Elasticsearch membutuhkan Java untuk diinstal pada mesin. Jadi, instal OpenJDK atau Oracle JDK.

dnf install -y java-1.8.0-openjdk-headless

Verifikasi versi Java.

java -version

Keluaran:

openjdk version "1.8.0_242"
OpenJDK Runtime Environment (build 1.8.0_242-b08)
OpenJDK 64-Bit Server VM (build 25.242-b08, mixed mode)

Instal Elasticsearch

Elasticsearch adalah salah satu perangkat lunak penting dalam pengaturan Graylog. Tujuan Elasticsearh adalah untuk menyimpan data yang berasal dari input Graylog dan menampilkannya melalui antarmuka web bawaan Graylog berdasarkan permintaan.

Graylog mendukung Eleasticsearch v6.x.

Impor kunci penandatanganan GPG sebelum penginstalan.

rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

Konfigurasikan repositori untuk mendapatkan paket Elasticsearch v6.x dari repositori resmi.

cat << EOF > /etc/yum.repos.d/elasticsearch.repo
[elasticsearch-6.x]
name=Elasticsearch repository for 6.x packages
baseurl=https://artifacts.elastic.co/packages/oss-6.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
EOF

Sekarang, instal paket Elasticsearch menggunakan perintah dnf.

dnf install -y elasticsearch-oss

Untuk membuat Elasticsearch bekerja dengan pengaturan Graylog, kita perlu mengatur nama cluster menjadi greylog.

Edit file elasticsearch.yml.

vi /etc/elasticsearch/elasticsearch.yml

Perbarui, seperti yang ditunjukkan di bawah ini.

cluster.name: graylog

action.auto_create_index: false

Muat ulang daemon systemctl dan aktifkan Elasticsearch untuk memulai secara otomatis saat startup sistem.

systemctl daemon-reload

systemctl enable elasticsearch

Mulai ulang Elasticsearch.

systemctl restart elasticsearch

Beri waktu satu atau dua menit untuk memulai Elasticsearch sepenuhnya.

Elastisearch sekarang harus mendengarkan 9200 untuk memproses permintaan HTTP. Gunakan perintah CURL untuk memeriksa respons.

curl -X GET http://localhost:9200

Nama cluster harus abu-abu.

{
  "name" : "eaTfFg6",
  "cluster_name" : "graylog",
  "cluster_uuid" : "u-ageNH-RHGIzpfxDtNsgQ",
  "version" : {
    "number" : "6.8.6",
    "build_flavor" : "oss",
    "build_type" : "rpm",
    "build_hash" : "3d9f765",
    "build_date" : "2019-12-13T17:11:52.013738Z",
    "build_snapshot" : false,
    "lucene_version" : "7.7.2",
    "minimum_wire_compatibility_version" : "5.6.0",
    "minimum_index_compatibility_version" : "5.0.0"
  },
  "tagline" : "You Know, for Search"
}

Instal MongoDB

MongoDB bertindak sebagai database untuk menyimpan konfigurasi dan informasi meta.

Graylog hanya mendukung MongoDB v4.0.

Kami akan menggunakan repositori resmi MongoDB untuk mendapatkan versi yang diperlukan.

cat << EOF > /etc/yum.repos.d/mongodb-org-4.0.repo
[mongodb-org-4.0]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/8Server/mongodb-org/4.0/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-4.0.asc
EOF

Instal MongoDB edisi komunitas menggunakan perintah berikut.

dnf install -y mongodb-org

Mulai layanan MongoDB dan aktifkan ke sistem start-up.

systemctl start mongod

systemctl enable mongod

Instal Graylog

Server Graylog menerima dan memproses pesan log yang datang dari berbagai input dan menampilkan data ke permintaan yang berasal dari antarmuka web greylog dengan bantuan Elasticsearch.

Instal rpm repositori Graylog untuk mengatur konfigurasi repositori secara otomatis.

dnf install -y https://packages.graylog2.org/repo/packages/graylog-3.2-repository_latest.rpm

Instal server Graylog menggunakan perintah berikut.

dnf install -y graylog-server

Edit file server.conf untuk memulai konfigurasi greylog.

vi /etc/graylog/server/server.conf

Gunakan perintah berikut untuk membuat rahasia

pwgen -N 1 -s 96

Keluaran:

1dcw10Snsvk1bKgkARGNaalO3QeZqkPG8pUcbJO3oF5ktYvDUeqRTaErFixOR95Nrv40FCFRClXIdnxwknGtl4HDrTspWmom

Tempatkan rahasia di file server.conf.

password_secret = 1dcw10Snsvk1bKgkARGNaalO3QeZqkPG8pUcbJO3oF5ktYvDUeqRTaErFixOR95Nrv40FCFRClXIdnxwknGtl4HDrTspWmom

Tetapkan kata sandi hash untuk pengguna root, yaitu, admin graylog. Anda memerlukan kata sandi ini untuk masuk ke antarmuka web Graylog.

Jika Anda ingin mengubah/mengatur ulang kata sandi admin Gralog yang terlupakan, Anda dapat mengedit/memperbarui server.conf dengan kata sandi hash.

Buat kata sandi hash menggunakan perintah di bawah ini. Ganti kata sandi Anda dengan pilihan Anda.

echo -n yourpassword | shasum -a 256

Keluaran:

e3c652f0ba0b4801205814f8b6bc49672c4c74e25b497770bb89b22cdeb4e951

Tempatkan kata sandi hash.

root_password_sha2 = e3c652f0ba0b4801205814f8b6bc49672c4c74e25b497770bb89b22cdeb4e951

Anda dapat mengatur alamat email untuk pengguna admin.

root_email = "[email protected]"

Setel zona waktu pengguna root (admin).

root_timezone = UTC

Konfigurasi antarmuka web Graylog

Dari Graylog versi 2.x, antarmuka web dilayani langsung oleh server Graylog. Aktifkan antarmuka web Graylog dengan mengedit file server.conf.

vi /etc/graylog/server/server.conf

Ubah entri agar Antarmuka Web Graylog terhubung ke server Graylog. Ganti 192.168.0.10 dengan alamat IP sistem Anda.

http_bind_address = 192.168.0.10:9000

Jika Anda mengakses Graylog menggunakan alamat IP publik karena NATing, perbarui nilai di bawah ini. Jika tidak, lewati saja.

http_external_uri = http://public_ip:9000/

Mulai ulang layanan Graylog.

systemctl daemon-reload

systemctl restart graylog-server

Jadikan server Graylog untuk memulai secara otomatis saat startup sistem.

systemctl enable graylog-server

Anda dapat memeriksa log startup server untuk memecahkan masalah Graylog untuk masalah apa pun.

tail -f /var/log/graylog-server/server.log

Jika semuanya berjalan dengan baik, Anda akan melihat pesan server aktif dan berjalan di file server.log.

2020-02-08T10:26:54.484-05:00 INFO  [ServerBootstrap] Graylog server up and running.

Firewall

Di CentOS 8 / RHEL 8, aturan firewall diatur untuk memblokir sebagian besar lalu lintas yang berasal dari mesin eksternal secara default.

Tambahkan aturan izinkan untuk antarmuka web Graylog sehingga kami dapat mengaksesnya dari mesin eksternal.

firewall-cmd --permanent --add-port=9000/tcp

firewall-cmd --reload

Mengakses antarmuka web Graylog

Akses antarmuka web dengan membuka URL di bawah ini.

http://ip.add.re.ss:9000

Masuk dengan nama pengguna admin dan kata sandi yang Anda konfigurasikan di root_password_sha2 di server.conf.

Setelah Anda masuk, Anda akan melihat halaman memulai.

Klik Sistem » Ringkasan untuk mengetahui status server Graylog.

Kesimpulan

Itu saja. Anda telah berhasil menginstal Graylog pada CentOS 8 / RHEL 8. Pada artikel berikutnya, kami akan mengkonfigurasi Graylog untuk menerima log Rsyslog dari sumber eksternal. Sebagai bacaan lebih lanjut, Anda dapat mencoba mengonfigurasi Nginx atau Apache sebagai proxy terbalik dan menyiapkan HTTPS untuk antarmuka web Graylog.