Описание установки системы сбора логов Graylog на виртуальный сервер под управлением операционной системы Ubuntu 18.04.
Что такое Graylog?
В крупных корпорациях, как правило, одновременно работает много систем и приложений, что усложняет ведение журнала ошибок. Для эффективного управления этими записями используются специализированные инструменты для их централизации.
Graylog — это профессиональное приложение, которое предоставляет унифицированную и централизованную систему сообщений из разных источников: операционной системы, приложений, информационных систем с целью централизации и упрощения администрирования журналов ошибок или логов.
Предварительные требования
- Для работы Graylog рекомендуемый объем оперативной памяти на виртуальном сервере - не менее 2Gb.
- Метаданные Graylog хранятся в СУБД MongoDB, для ее установки можно воспользоваться нашей инструкцией.
Обновление системы и установка Oracle JDK
Обновите локальную базу пакетов:
Далее установите OpenJDK и дополнительные пакеты:
Установка Elasticsearch
Graylog требует установки Elasticsearch, масштабируемого приложения, которое позволяет выполнять поиск данных в реальном времени, а также хранить и анализировать.
Выполните базовую установку Elasticsearch. Сначала необходимо загрузить GPG-ключ:
Загрузите deb-пакет:
Обновите локальную базу пакетов и установите Elasticsearch:
Далее разрешите запуск приложения после загрузки ОС и запусти его:
systemctl start elasticsearch
В файле конфигурации необходимо изменить название кластера. С помощью текстового редактора vi откройте следующий файл:
Найдите следующий параметр cluster.name и установите имя кластера:
Также в конец файла добавьте следующие строки:
script.indexed: false
script.file: false
Сохраните внесенные изменения и перезапустите Elasticsearch:
Установка Graylog
С помощью команды wget загрузите пакет graylog:
Выполните установку пакета:
Обновите информацию о пакетах и запустите процесс установки Graylog:
После завершения установки необходимо отредактировать файл конфигурации, чтобы установить в нем пароль. Пароль должен содержать 64 символа, для его генерации рекомендуем использовать pwgen:
В результате, в консоль будет выведена строка, пример:
iQflncka906AZkfcJtMAuuehAjMoj9MfDiYnrj6NDIFaprVY3jP6rQszcd56MwGT4Ra0ckoxpeZnxbpg2pJPEUTa0qYaNtDw
Далее с помощью откройте файл конфигурации:
Установите параметру password_secret значение сгенерированного пароля, например:
password_secret = iQflncka906AZkfcJtMAuuehAjMoj9MfDiYnrj6NDIFaprVY3jP6rQszcd56MwGT4Ra0ckoxpeZnxbpg2pJPEUTa0qYaNtDw
Далее сгенерируйте хеш для пароля пользователя admin, указав значение пароля:
В результате будет выведена строка следующего вида:
6c8ccf159a4b150dc29e7b013b1d04700821a5c44a17f6d85dd6e317f7b4e209 -
Установите параметру root_password_sha2 значение сгенерированного пароля, например:
root_password_sha2 = 6c8ccf159a4b150dc29e7b013b1d04700821a5c44a17f6d85dd6e317f7b4e209
Также заполните параметр root_email:
root_email = “example@domain.com”
В конец файла добавьте следующую строку, указав IP-адрес вашего VPS:
Например:
Далее необходимо изменить адрес web-интерфейса и апи, для этого найдите следующие строки и замените IP-адрес на адрес вашего виртуального сервера:
Примечание: при необходимости также можно изменить порт.
Сохраните изменения в файле конфигурации.
Перезапустите сервис для применения изменений:
Проверить статус сервиса можно с помощью следующей команды:
Подключение к web-интерфейсу Graylog
Для подключения к Web-интерфейсу Graylog для начала необходимо открыть соответствующий порт, по умолчанию мы везде используем 9000. Открыть порт можно с помощью межсетевого экрана прямо в панели управления или на уровне сервера с помощью простой утилиты iptables:
iptables-save
После этого в браузере можно перейти по следующей ссылке:
Например:
На открывшейся странице введите логин admin и созданный ранее пароль:
Подготовка интерфейса может занять несколько дней:
Теперь вы можете приступать к работе с Graylog: