Comment installer l'outil de gestion des journaux Graylog sur les systèmes RHEL

Graylog est une solution de gestion des journaux opensource de pointe pour la collecte, le stockage, l'indexation et l'analyse des données en temps réel provenant des applications et une myriade d'appareils dans les infrastructures informatiques telles que les serveurs, les routeurs et les pare-feu.

Grislog vous aide à mieux comprendre les données collectées en combinant plusieurs recherches d'analyse et de rapports détaillés. Il détecte également les menaces et la possible activité néfaste en effectuant une analyse approfondie des journaux à partir de sources distantes.

Outil de gestion des journaux Graylog

Grislog comprend ce qui suit:

• Le serveur Graylog - il s'agit du serveur principal et est utilisé pour le traitement des journaux.
• L'interface Web Graylog - Il s'agit d'une application de navigateur qui donne un coup d'œil aux données et aux journaux collectés à partir de plusieurs points de terminaison.
• MongoDB - Un serveur de base de données NoSQL pour stocker les données de configuration.
• Elasticsearch - Il s'agit d'un moteur de recherche et d'analyse libre et open source qui analyse et index des données brutes provenant de diverses sources.

L'architecture de Graylog accepte tout type de données structurées, y compris le trafic réseau et les journaux à partir des éléments suivants:

• Syslog (TCP, UDP, AMQP, Kafka).
• AWS - AWS Logs, Cloudtrail et Flowlogs.
• NetFlow (UDP).
• Gelf (TCP, UDP, AMQP, Kafka).
• Elk - Beats et Logstash.
• Path JSON à partir de l'API HTTP.

Certaines des entreprises technologiques géantes qui mettent en œuvre Grislog dans leurs piles technologiques incluent Fiverr, Circleci, Base d'artisanat, et Bitpanda.

Dans ce guide, nous vous montrerons comment installer le Grislog outil de gestion des journaux sur Rhel 8 et des distros basés sur Rhel comme Almalinux, Centos Stream, et Rocky Linux.

Étape 1: Installez les packages EPEL Repo et préalable

Pour commencer, vous avez besoin de certains packages essentiels qui seront utiles lorsque vous vous déplacez avec ce guide. Tout d'abord, installez le Epel référentiel qui fournit un riche ensemble de packages logiciels pour Rhel & Rhel distribution.

$ sudo dnf installer https: // dl.fedoraproject.org / pub / epel / epel-libérer lest-8.noarch.RPM 

Ensuite, installez les packages suivants qui seront nécessaires en cours de route.

$ sudo dnf install -y pwgen wget curl perl-digest-sha 

Étape 2: Installez Java (OpenJDK) à Rhel

L'une des conditions préalables à l'installation Grislog est Java 8 et versions ultérieures. Ici, nous allons installer la dernière version LTS de Java lequel est Java 11 qui sera fourni par Openjdk 11.

Par conséquent, exécutez la commande suivante pour installer Openjdk.

$ sudo dnf installer java-11-openjdk java-11-openjdk-devel -y 

Cela installe Java dépendances et une multitude d'autres dépendances.

Une fois l'installation terminée, vérifiez la version installée.

$ java -version 

Vérifiez Java à Rhel

Étape 3: Installez Elasticsearch dans Rhel

Elasticsearch est un moteur de recherche et d'analyse libre et open source qui gère une grande variété de données comprenant des données structurées, non structurées, numériques, géospatiales et textuelles.

C'est un composant clé de la pile élastique, également connue sous le nom WAPITI (Elasticsearch, Logstash et Kibana), et est largement utilisé pour ses simples API de repos, son évolutivité et sa vitesse.

Grislog a besoin Elasticsearch 6.x ou 7.X. Nous installerons Elasticsearch 7.X qui est la dernière version au moment de la publication de ce guide.

Créer le Elasticsearch fichier de référentiel.

$ sudo vim / etc / yum.se soustraire.d / elasticsearch.repo 

Ensuite, collez les lignes de code suivantes dans le fichier.

[Elasticsearch-7.x] name = référentiel elasticsearch pour 7.x packages substanl = https: // artefacts.élastique.CO / Packages / OSS-7.x / yum gpgcheck = 1 gpgkey = https: // artefacts.élastique.co / gpg-key-elasticsearch activé = 1 autorefresh = 1 type = rpm-md 

Enregistrer les modifications et quitter.

Ensuite, installez Elasticsearch Utilisation du gestionnaire de packages DNF comme indiqué.

$ sudo dnf installer elasticsearch-os 

Installer Elasticsearch dans Rhel

Pour Elasticsearch travailler avec Grislog, Quelques modifications sont nécessaires. Alors ouvrez le Elasticsearch.YML déposer.

$ sudo vim / etc / elasticsearch / elasticsearch.YML 

Mettez à jour le nom du cluster sur Graylog comme indiqué.

grappe.Nom: Graylog 

Enregistrer les modifications et quitter.

Puis recharger la configuration du gestionnaire Systemd.

$ sudo Systemctl Daemon-Reload 

Ensuite, activez et démarrez le Elasticsearch Service en exécutant les commandes suivantes.

$ sudo systemctl activer elasticsearch.Service $ sudo systemctl start elasticsearch.service 

Activer Elasticsearch à Rhel

Elasticsearch écoute le port 9200 Par défaut pour traiter Http demandes. Vous pouvez confirmer cela en envoyant un BOUCLE demande comme indiqué.

$ curl -x get http: // localhost: 9200 

Vérifiez Elasticsearch à Rhel

Étape 4: Installez MongoDB à Rhel

Grislog utilise un Mongodb serveur de base de données pour stocker les données de configuration.

Nous installerons MongoDB 4.4, Mais d'abord, créez un fichier de configuration pour Mongodb.

$ sudo vim / etc / yum.se soustraire.D / MONGODB-ORG-4.repo 

Puis collez la configuration suivante.

[MongoDB-Org-4] Name = MongoDB Repository BasiseUrl = https: // repo.mongodb.org / yum / redhat / 8 / mongodb-org / 4.4 / x86_64 / gpgcheck = 1 activé = 1 gpgkey = https: // www.mongodb.org / static / pgp / server-4.4.ASC 

Enregistrer les modifications et quitter.

Ensuite, installez Mongodb comme suit.

$ sudo dnf installer mongodb-org 

Une fois installé, démarrez et activez MongoDB à démarrer sur le démarrage du système.

$ sudo systemctl start mongod $ sudo systemctl activer mongod 

Pour vérifier la version MongoDB, exécutez la commande:

$ Mongo - Version 

Vérifiez MongoDB à Rhel

Étape 5: Installez le serveur Graylog dans Rhel

Avec tous les composants préalables installés, installez maintenant Grislog En exécutant les commandes suivantes.

$ sudo rpm -UVH https: // packages.grislog2.org / repo / packages / graylog-4.2-repository_latest.RPM $ sudo dnf installer Graylog-Server 

Vous pouvez vérifier l'installation de Grislog comme montré:

$ RPM -QI Graylog-Server 

Vérifiez Graylog à Rhel

Maintenant, commencez et activez le Grislog serveur pour démarrer sur l'heure de démarrage.

$ sudo systemctl start graylog-server.Service $ sudo systemctl activer Graylog-Server.service 

Étape 6: Configurez le serveur Graylog dans Rhel

Pour Grislog Pour fonctionner comme prévu, certaines étapes supplémentaires sont nécessaires. Vous devez définir les paramètres suivants dans le fichier de configuration:

root_password_sha2 mot de passe_secret root_username http_bind_address 

Nous définirons ces variables dans le / etc / graylog / serveur / serveur.confli Fichier qui est le fichier de configuration par défaut.

Le root_password_sha2 est le mot de passe de hachage pour l'utilisateur racine. Pour le générer, exécutez la commande suivante. Le [Protégé par e-mail] est juste un espace réservé. N'hésitez pas à spécifier votre propre mot de passe.

$ echo -n [e-mail protégé] | shasum -a 256 

Sortir

68E865AF8DDBEFFC494508BB6181167FCCF0BB7C0CAB421C54EF3067BDD8D85D 

Prenez note de ce mot de passe et enregistrez-le quelque part.

Ensuite, générez le Password_Secret comme suit:

$ PWGEN -N 1 -S 96 

Sortir

T1etssecy0qe4jig3t6e96a5qlu5whs9p5slivex9kybwjc3wkhn4246oqgype4btlxaaiocm7LyUsd9bgaonqxktJuqbf 

Encore une fois, prenez note de ce mot de passe hachis.

Ensuite, ouvrez le fichier de configuration de Graylog.

$ sudo vim / etc / graylog / serveur / serveur.confli 

Collez les valeurs que vous avez générées root_password_sha2 et Password_Secret comme montré.

root_username = admin root_password_sha2 = 68e865af8ddbeffc494508bb6181167fccf0bb7c0cab421c54ef3067bdd8d85d password_secret = T1EtSsecY0QE4jIG3t6e96A5qLU5WhS9p5SliveX9kybWjC3WKhN4246oqGYPe4BTLXaaiOcM7LyuSd9bGAonQxkTsTjuqBf 

De plus, faire Grislog accessible par des utilisateurs externes en définissant le http_bind_address paramètre comme suit.

http_bind_address = 0.0.0.0: 9000 

Configurez également le fuseau horaire pour le Grislog serveur.

root_timezone = UTC 

Enregistrer et quitter le fichier de configuration.

Pour appliquer les modifications, redémarrez le Grislog serveur.

$ sudo systemctl redémarrer Graylog-Server.service 

Vous pouvez confirmer à partir des fichiers journaux et vérifier si Grislog est en cours d'exécution comme prévu.

$ tail -f / var / log / graylog-server / serveur.enregistrer 

La sortie suivante à la dernière ligne montre que tout va bien.

Vérifiez le statut de Graylog à Rhel

Grislog écoute sur le port 9000 qui donne accès à l'interface Web. Alors, ouvrez ce port sur le pare-feu.

$ sudo Firewall-CMD --Add-Port = 9000 / TCP - Permanent $ sudo Firewall-CMD - Reload 

Étape 7: Accès à Graylog Web UI

Accéder Grislog, Parcourez l'URL suivante.

http: // server-ip: 9000 ou http: // nom de domaine: 9000 

Connectez-vous avec votre nom d'utilisateur Admin et le mot de passe configuré pour root_password_sha2 dans le serveur.confli déposer.

Connexion de l'utilisateur Graylog

Une fois connecté, vous devriez voir le tableau de bord suivant.

Tableau de bord Graylog

De là, vous pouvez procéder à l'analyse des données et des journaux collectés à partir de diverses sources de données.

Graylog continue d'être une solution de gestion des journaux centralisée populaire pour les développeurs et les équipes d'opération. L'analyse des données collectées fournit des informations approfondies sur l'état de travail de diverses applications et appareils et aide à trouver des erreurs et à optimiser les opérations informatiques.

C'est tout pour ce guide. Dans ce tutoriel, nous avons démontré comment installer Serveur Graylog Sur les distributions Linux basées sur RHEL.