Com instal·lar l'eina de gestió de registres Graylog als sistemes RHEL
Graylog és una solució de gestió de registres de codi obert líder en el sector per recopilar, emmagatzemar, indexar i analitzar dades en temps real d'aplicacions i d'una infinitat de dispositius en infraestructures de TI com ara servidors, encaminadors i tallafocs.
Graylog us ajuda a obtenir més informació sobre les dades recollides combinant diverses cerques per a anàlisis i informes detallats. També detecta amenaces i possibles activitats nefastes mitjançant una anàlisi profunda dels registres de fonts remotes.
Graylog inclou el següent:
- El servidor Graylog: aquest és el servidor principal i s'utilitza per processar els registres.
- La interfície web de Graylog: aquesta és una aplicació de navegador que dóna un cop d'ull a les dades i els registres recollits de diversos punts finals.
- MongoDB: un servidor de bases de dades NoSQL per emmagatzemar dades de configuració.
- ElasticSearch: és un motor de cerca i anàlisi gratuït i de codi obert que analitza i indexa dades en brut de diverses fonts.
L'arquitectura de Graylog accepta qualsevol tipus de dades estructurades, inclòs el trànsit de xarxa i els registres dels següents:
- Syslog (TCP, UDP, AMQP, Kafka).
- AWS: registres d'AWS, CloudTrail i FlowLogs.
- Netflow (UDP).
- GELF (TCP, UDP, AMQP, Kafka).
- ELK: Beats i Logstash.
- Camí de JSON des de l'API HTTP.
Algunes de les empreses tecnològiques gegants que implementen Graylog a les seves piles tecnològiques inclouen Fiverr, CircleCI, CraftBase i BitPanda.
En aquesta guia, us mostrarem com instal·lar l'eina de gestió de registres Graylog a RHEL 8 i distribucions basades en RHEL com AlmaLinux, CentOS Stream i Rocky Linux.
Pas 1: instal·leu EPEL Repo i paquets de requisits previs
Per començar, necessiteu alguns paquets essencials que us seran útils a mesura que avanceu amb aquesta guia. En primer lloc, instal·leu el dipòsit EPEL que proporciona un conjunt ric de paquets de programari per a distribucions RHEL i RHEL.
$ sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm
A continuació, instal·leu els paquets següents que seran necessaris al llarg del camí.
$ sudo dnf install -y pwgen wget curl perl-Digest-SHA
Pas 2: instal·leu Java (OpenJDK) a RHEL
Un dels requisits previs per instal·lar Graylog és Java 8 i versions posteriors. Aquí, instal·larem la darrera versió LTS de Java, que és Java 11, que serà proporcionada per OpenJDK 11.
Per tant, executeu l'ordre següent per instal·lar OpenJDK.
$ sudo dnf install java-11-openjdk java-11-openjdk-devel -y
Això instal·la dependències de Java i una sèrie d'altres dependències.
Un cop finalitzada la instal·lació, verifiqueu la versió instal·lada.
$ java -version
Pas 3: instal·leu Elasticsearch a RHEL
Elasticsearch és un motor de cerca i anàlisi gratuït i de codi obert que gestiona una gran varietat de dades, incloses dades estructurades, no estructurades, numèriques, geoespacials i textuals.
És un component clau de la pila Elastic, també conegut com ELK (Elasticsearch, Logstash i Kibana), i s'utilitza àmpliament per les seves API REST senzilles, escalabilitat i velocitat.
Graylog requereix Elasticsearch 6.xo 7.x. Instal·larem Elasticsearch 7.x, que és la darrera versió en el moment de publicar aquesta guia.
Creeu el fitxer de repositori d'Elasticsearch.
$ sudo vim /etc/yum.repos.d/elasticsearch.repo
A continuació, enganxeu les següents línies de codi al fitxer.
[elasticsearch-7.x] name=Elasticsearch repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/oss-7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md
Deseu els canvis i sortiu.
A continuació, instal·leu Elasticsearch mitjançant el gestor de paquets DNF tal com es mostra.
$ sudo dnf install elasticsearch-oss
Perquè Elasticsearch funcioni amb Graylog, calen alguns canvis. Per tant, obriu el fitxer elasticsearch.yml.
$ sudo vim /etc/elasticsearch/elasticsearch.yml
Actualitzeu el nom del clúster a Graylog tal com es mostra.
cluster.name: graylog
Deseu els canvis i sortiu.
A continuació, torneu a carregar la configuració del gestor de sistema.
$ sudo systemctl daemon-reload
A continuació, activeu i inicieu el servei Elasticsearch executant les ordres següents.
$ sudo systemctl enable elasticsearch.service $ sudo systemctl start elasticsearch.service
Elasticsearch escolta el port 9200 per defecte per processar les sol·licituds HTTP. Podeu confirmar-ho enviant una sol·licitud CURL tal com es mostra.
$ curl -X GET http://localhost:9200
Pas 4: instal·leu MongoDB a RHEL
Graylog utilitza un servidor de bases de dades MongoDB per emmagatzemar dades de configuració.
Instal·larem MongoDB 4.4, però primer, creeu un fitxer de configuració per a MongoDB.
$ sudo vim /etc/yum.repos.d/mongodb-org-4.repo
A continuació, enganxeu la configuració següent.
[mongodb-org-4] name=MongoDB Repository baseurl=https://repo.mongodb.org/yum/redhat/8/mongodb-org/4.4/x86_64/ gpgcheck=1 enabled=1 gpgkey=https://www.mongodb.org/static/pgp/server-4.4.asc
Deseu els canvis i sortiu.
A continuació, instal·leu MongoDB de la següent manera.
$ sudo dnf install mongodb-org
Un cop instal·lat, inicieu i activeu MongoDB perquè s'iniciï a l'inici del sistema.
$ sudo systemctl start mongod $ sudo systemctl enable mongod
Per comprovar la versió de MongoDB, executeu l'ordre:
$ mongo --version
Pas 5: instal·leu el servidor Graylog a RHEL
Amb tots els components de requisits previs instal·lats, ara instal·leu Graylog executant les ordres següents.
$ sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-4.2-repository_latest.rpm $ sudo dnf install graylog-server
Podeu verificar la instal·lació de Graylog tal com es mostra:
$ rpm -qi graylog-server
Ara, inicieu i activeu el servidor Graylog perquè s'iniciï a l'inici.
$ sudo systemctl start graylog-server.service $ sudo systemctl enable graylog-server.service
Pas 6: configureu el servidor Graylog a RHEL
Perquè Graylog funcioni com s'esperava, calen alguns passos addicionals. Heu de definir els paràmetres següents al fitxer de configuració:
root_password_sha2 password_secret root_username http_bind_address
Definirem aquestes variables al fitxer /etc/graylog/server/server.conf que és el fitxer de configuració per defecte.
El root_password_sha2 és la contrasenya hash per a l'usuari root. Per generar-lo executeu la següent comanda. El [email és només un marcador de posició. No dubteu a especificar la vostra pròpia contrasenya.
$ echo -n [email | shasum -a 256
Sortida
68e865af8ddbeffc494508bb6181167fccf0bb7c0cab421c54ef3067bdd8d85d
Preneu nota d'aquesta contrasenya i deseu-la en algun lloc.
A continuació, genereu password_secret de la següent manera:
$ pwgen -N 1 -s 96
Sortida
T1EtSsecY0QE4jIG3t6e96A5qLU5WhS9p5SliveX9kybWjC3WKhN4246oqGYPe4BTLXaaiOcM7LyuSd9bGAonQxkTsTjuqBf
De nou, tingueu en compte aquesta contrasenya hash.
A continuació, obriu el fitxer de configuració de Graylog.
$ sudo vim /etc/graylog/server/server.conf
Enganxeu els valors que heu generat per a root_password_sha2 i password_secret tal com es mostra.
root_username = admin root_password_sha2 = 68e865af8ddbeffc494508bb6181167fccf0bb7c0cab421c54ef3067bdd8d85d password_secret = T1EtSsecY0QE4jIG3t6e96A5qLU5WhS9p5SliveX9kybWjC3WKhN4246oqGYPe4BTLXaaiOcM7LyuSd9bGAonQxkTsTjuqBf
A més, feu que el Graylog sigui accessible per usuaris externs configurant el paràmetre http_bind_address de la manera següent.
http_bind_address = 0.0.0.0:9000
A més, configureu la zona horària del servidor Graylog.
root_timezone = UTC
Deseu i sortiu del fitxer de configuració.
Per aplicar els canvis, reinicieu el servidor Graylog.
$ sudo systemctl restart graylog-server.service
Podeu confirmar des dels fitxers de registre i comprovar si Graylog s'executa com s'esperava.
$ tail -f /var/log/graylog-server/server.log
La sortida següent a l'última línia mostra que tot està bé.
Graylog escolta al port 9000 que proporciona accés a la interfície web. Per tant, obriu aquest port al tallafoc.
$ sudo firewall-cmd --add-port=9000/tcp --permanent $ sudo firewall-cmd --reload
Pas 7: accediu a la interfície d'usuari web de Graylog
Per accedir a Graylog, navegueu per l'URL següent.
http://server-ip:9000 OR http://domain-name:9000
Inicieu la sessió amb el vostre nom d'usuari admin i la contrasenya configurada per a root_password_sha2 al fitxer server.conf.
Un cop iniciat sessió, hauríeu de veure el següent tauler.
A partir d'aquí, podeu procedir a analitzar les dades i els registres recollits de diverses fonts de dades.
Graylog continua sent una solució de gestió de registres centralitzada popular per a desenvolupadors i equips operatius. L'anàlisi de les dades recollides proporciona una visió profunda de l'estat de funcionament de diverses aplicacions i dispositius i ajuda a trobar errors i optimitzar les operacions de TI.
Això és tot per aquesta guia. En aquest tutorial, hem demostrat com instal·lar Graylog Server en distribucions Linux basades en RHEL.