Com instal·lar l'eina de gestió de registres Graylog als sistemes RHEL

Graylog és una solució de gestió de registres de codi obert líder en el sector per recopilar, emmagatzemar, indexar i analitzar dades en temps real d'aplicacions i d'una infinitat de dispositius en infraestructures de TI com ara servidors, encaminadors i tallafocs.

Graylog us ajuda a obtenir més informació sobre les dades recollides combinant diverses cerques per a anàlisis i informes detallats. També detecta amenaces i possibles activitats nefastes mitjançant una anàlisi profunda dels registres de fonts remotes.

Graylog inclou el següent:

  • El servidor Graylog: aquest és el servidor principal i s'utilitza per processar els registres.
  • La interfície web de Graylog: aquesta és una aplicació de navegador que dóna un cop d'ull a les dades i els registres recollits de diversos punts finals.
  • MongoDB: un servidor de bases de dades NoSQL per emmagatzemar dades de configuració.
  • ElasticSearch: és un motor de cerca i anàlisi gratuït i de codi obert que analitza i indexa dades en brut de diverses fonts.

L'arquitectura de Graylog accepta qualsevol tipus de dades estructurades, inclòs el trànsit de xarxa i els registres dels següents:

  • Syslog (TCP, UDP, AMQP, Kafka).
  • AWS: registres d'AWS, CloudTrail i FlowLogs.
  • Netflow (UDP).
  • GELF (TCP, UDP, AMQP, Kafka).
  • ELK: Beats i Logstash.
  • Camí de JSON des de l'API HTTP.

Algunes de les empreses tecnològiques gegants que implementen Graylog a les seves piles tecnològiques inclouen Fiverr, CircleCI, CraftBase i BitPanda.

En aquesta guia, us mostrarem com instal·lar l'eina de gestió de registres Graylog a RHEL 8 i distribucions basades en RHEL com AlmaLinux, CentOS Stream i Rocky Linux.

Pas 1: instal·leu EPEL Repo i paquets de requisits previs

Per començar, necessiteu alguns paquets essencials que us seran útils a mesura que avanceu amb aquesta guia. En primer lloc, instal·leu el dipòsit EPEL que proporciona un conjunt ric de paquets de programari per a distribucions RHEL i RHEL.

$ sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm

A continuació, instal·leu els paquets següents que seran necessaris al llarg del camí.

$ sudo dnf install -y pwgen wget curl perl-Digest-SHA

Pas 2: instal·leu Java (OpenJDK) a RHEL

Un dels requisits previs per instal·lar Graylog és Java 8 i versions posteriors. Aquí, instal·larem la darrera versió LTS de Java, que és Java 11, que serà proporcionada per OpenJDK 11.

Per tant, executeu l'ordre següent per instal·lar OpenJDK.

$ sudo dnf install java-11-openjdk java-11-openjdk-devel -y

Això instal·la dependències de Java i una sèrie d'altres dependències.

Un cop finalitzada la instal·lació, verifiqueu la versió instal·lada.

$ java -version

Pas 3: instal·leu Elasticsearch a RHEL

Elasticsearch és un motor de cerca i anàlisi gratuït i de codi obert que gestiona una gran varietat de dades, incloses dades estructurades, no estructurades, numèriques, geoespacials i textuals.

És un component clau de la pila Elastic, també conegut com ELK (Elasticsearch, Logstash i Kibana), i s'utilitza àmpliament per les seves API REST senzilles, escalabilitat i velocitat.

Graylog requereix Elasticsearch 6.xo 7.x. Instal·larem Elasticsearch 7.x, que és la darrera versió en el moment de publicar aquesta guia.

Creeu el fitxer de repositori d'Elasticsearch.

$ sudo vim  /etc/yum.repos.d/elasticsearch.repo

A continuació, enganxeu les següents línies de codi al fitxer.

[elasticsearch-7.x]
name=Elasticsearch repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/oss-7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

Deseu els canvis i sortiu.

A continuació, instal·leu Elasticsearch mitjançant el gestor de paquets DNF tal com es mostra.

$ sudo dnf install elasticsearch-oss

Perquè Elasticsearch funcioni amb Graylog, calen alguns canvis. Per tant, obriu el fitxer elasticsearch.yml.

$ sudo vim /etc/elasticsearch/elasticsearch.yml

Actualitzeu el nom del clúster a Graylog tal com es mostra.

cluster.name: graylog

Deseu els canvis i sortiu.

A continuació, torneu a carregar la configuració del gestor de sistema.

$ sudo systemctl daemon-reload

A continuació, activeu i inicieu el servei Elasticsearch executant les ordres següents.

$ sudo systemctl enable elasticsearch.service
$ sudo systemctl start elasticsearch.service

Elasticsearch escolta el port 9200 per defecte per processar les sol·licituds HTTP. Podeu confirmar-ho enviant una sol·licitud CURL tal com es mostra.

$ curl -X GET http://localhost:9200

Pas 4: instal·leu MongoDB a RHEL

Graylog utilitza un servidor de bases de dades MongoDB per emmagatzemar dades de configuració.

Instal·larem MongoDB 4.4, però primer, creeu un fitxer de configuració per a MongoDB.

$ sudo vim /etc/yum.repos.d/mongodb-org-4.repo

A continuació, enganxeu la configuració següent.

[mongodb-org-4]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/8/mongodb-org/4.4/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-4.4.asc

Deseu els canvis i sortiu.

A continuació, instal·leu MongoDB de la següent manera.

$ sudo dnf install mongodb-org

Un cop instal·lat, inicieu i activeu MongoDB perquè s'iniciï a l'inici del sistema.

$ sudo systemctl start mongod
$ sudo systemctl enable mongod

Per comprovar la versió de MongoDB, executeu l'ordre:

$ mongo --version

Pas 5: instal·leu el servidor Graylog a RHEL

Amb tots els components de requisits previs instal·lats, ara instal·leu Graylog executant les ordres següents.

$ sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-4.2-repository_latest.rpm
$ sudo dnf install graylog-server

Podeu verificar la instal·lació de Graylog tal com es mostra:

$ rpm -qi graylog-server

Ara, inicieu i activeu el servidor Graylog perquè s'iniciï a l'inici.

$ sudo systemctl start graylog-server.service
$ sudo systemctl enable  graylog-server.service

Pas 6: configureu el servidor Graylog a RHEL

Perquè Graylog funcioni com s'esperava, calen alguns passos addicionals. Heu de definir els paràmetres següents al fitxer de configuració:

root_password_sha2 
password_secret
root_username
http_bind_address

Definirem aquestes variables al fitxer /etc/graylog/server/server.conf que és el fitxer de configuració per defecte.

El root_password_sha2 és la contrasenya hash per a l'usuari root. Per generar-lo executeu la següent comanda. El [email  és només un marcador de posició. No dubteu a especificar la vostra pròpia contrasenya.

$ echo -n [email  | shasum -a 256

Sortida

68e865af8ddbeffc494508bb6181167fccf0bb7c0cab421c54ef3067bdd8d85d

Preneu nota d'aquesta contrasenya i deseu-la en algun lloc.

A continuació, genereu password_secret de la següent manera:

$ pwgen -N 1 -s 96

Sortida

T1EtSsecY0QE4jIG3t6e96A5qLU5WhS9p5SliveX9kybWjC3WKhN4246oqGYPe4BTLXaaiOcM7LyuSd9bGAonQxkTsTjuqBf

De nou, tingueu en compte aquesta contrasenya hash.

A continuació, obriu el fitxer de configuració de Graylog.

$ sudo vim /etc/graylog/server/server.conf

Enganxeu els valors que heu generat per a root_password_sha2 i password_secret tal com es mostra.

root_username = admin
root_password_sha2 = 68e865af8ddbeffc494508bb6181167fccf0bb7c0cab421c54ef3067bdd8d85d
password_secret = T1EtSsecY0QE4jIG3t6e96A5qLU5WhS9p5SliveX9kybWjC3WKhN4246oqGYPe4BTLXaaiOcM7LyuSd9bGAonQxkTsTjuqBf

A més, feu que el Graylog sigui accessible per usuaris externs configurant el paràmetre http_bind_address de la manera següent.

http_bind_address = 0.0.0.0:9000

A més, configureu la zona horària del servidor Graylog.

root_timezone = UTC

Deseu i sortiu del fitxer de configuració.

Per aplicar els canvis, reinicieu el servidor Graylog.

$ sudo systemctl restart graylog-server.service

Podeu confirmar des dels fitxers de registre i comprovar si Graylog s'executa com s'esperava.

$ tail -f /var/log/graylog-server/server.log

La sortida següent a l'última línia mostra que tot està bé.

Graylog escolta al port 9000 que proporciona accés a la interfície web. Per tant, obriu aquest port al tallafoc.

$ sudo firewall-cmd --add-port=9000/tcp  --permanent
$ sudo firewall-cmd --reload

Pas 7: accediu a la interfície d'usuari web de Graylog

Per accedir a Graylog, navegueu per l'URL següent.

http://server-ip:9000
OR
http://domain-name:9000

Inicieu la sessió amb el vostre nom d'usuari admin i la contrasenya configurada per a root_password_sha2 al fitxer server.conf.

Un cop iniciat sessió, hauríeu de veure el següent tauler.

A partir d'aquí, podeu procedir a analitzar les dades i els registres recollits de diverses fonts de dades.

Graylog continua sent una solució de gestió de registres centralitzada popular per a desenvolupadors i equips operatius. L'anàlisi de les dades recollides proporciona una visió profunda de l'estat de funcionament de diverses aplicacions i dispositius i ajuda a trobar errors i optimitzar les operacions de TI.

Això és tot per aquesta guia. En aquest tutorial, hem demostrat com instal·lar Graylog Server en distribucions Linux basades en RHEL.