Wie man Graylog auf Ubuntu 24.04 installiert

Graylog ist eine kostenlose und Open-Source-Protokollverwaltungsplattform zum Erfassen, Speichern und Ermöglichen der Echtzeitanalyse Ihrer Daten und Protokolle. Es ist in Java geschrieben und basiert auf anderer Open-Source-Software wie MongoDB und Elasticsearch.

Graylog bietet eine der effizientesten, schnellsten und flexibelsten zentralen Protokollverwaltungsplattformen. Mit Graylog können Sie sowohl strukturierte als auch unstrukturierte Daten aus fast jeder Datenquelle senden und analysieren.

In diesem Tutorial lernen Sie, wie Sie den Graylog-Server auf Ubuntu 24.04 installieren. Sie werden Graylog zusammen mit MongoDB und Elasticsearch installieren.

Voraussetzungen

Um dieses Tutorial abzuschließen, stellen Sie sicher, dass Sie Folgendes haben:

• Einen Ubuntu 24.04-Server mit mindestens 4 oder 8 GB RAM
• Einen Nicht-Root-Benutzer mit Administratorrechten

MongoDB installieren

Um Graylog zu installieren, müssen Sie zuerst MongoDB installieren. Zurzeit unterstützt Graylog nur MongoDB v5.x-7.x, und in diesem Abschnitt installieren Sie MongoDB 7.x auf Ihrem Ubuntu-Server.

Zuerst führen Sie den folgenden Befehl aus, um einige Abhängigkeiten zu installieren.

sudo apt install apt-transport-https gnupg2 uuid-runtime pwgen curl dirmngr -y

Jetzt fügen Sie den MongoDB GPG-Schlüssel und das Repository mit dem folgenden Befehl hinzu. In diesem Beispiel verwenden Sie MongoDB 7.0 für die vorherige Ubuntu-Version.

curl -fsSL  | \  
sudo gpg -o /usr/share/keyrings/mongodb-server-7.0.gpg \  
--dearmor

echo "deb [ arch=amd64,arm64 signed-by=/usr/share/keyrings/mongodb-server-7.0.gpg ] https://repo.mongodb.org/apt/ubuntu jammy/mongodb-org/7.0 multiverse" | \  
sudo tee /etc/apt/sources.list.d/mongodb-org-7.0.list

Sobald das Repository hinzugefügt wurde, führen Sie den folgenden ‘apt’-Befehl aus, um Ihr Ubuntu-Paketindex zu aktualisieren und MongoDB auf Ihrem System zu installieren.

sudo apt update && sudo apt install mongodb-org

Geben Sie ‘ Y ‘ ein, um die Installation zu bestätigen.

Nachdem die Installation abgeschlossen ist, starten und aktivieren Sie den ‘ mongod ‘-Dienst mit dem folgenden Befehl.

sudo systemctl enable --now mongod

Überprüfen Sie zuletzt den ‘ mongod ‘-Dienst, um sicherzustellen, dass der Dienst läuft. Sie sollten sehen, dass MongoDB auf Ihrem System läuft.

sudo systemctl status mongod

Elasticsearch installieren

Nachdem Sie MongoDB installiert haben, müssen Sie Elasticsearch installieren. Und davor müssen Sie zuerst Java OpenJDK installieren und dann Elasticsearch installieren. Derzeit unterstützt der Graylog-Server nur Elasticsearch v7.x.

Um Java OpenJDK zu installieren, führen Sie den folgenden ‘ apt ‘-Befehl aus. Geben Sie ‘ Y ‘ ein, um mit der Installation fortzufahren.

sudo apt install openjdk-11-jre-headless

Überprüfen Sie jetzt die Java-Version mit dem folgenden Befehl. Sie sollten sehen, dass Java OpenJDK 11 installiert wurde.

java --version

Nachdem Java installiert ist, sind Sie bereit, Elasticsearch zu installieren.

Führen Sie den folgenden Befehl aus, um den GPG-Schlüssel und das Repository für Elasticsearch hinzuzufügen. In diesem Beispiel installieren Sie Elasticsearch 7.x.

wget -qO -  | apt-key add -  
echo "deb https://artifacts.elastic.co/packages/oss-7.x/apt stable main" | \  
sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list

Führen Sie jetzt den folgenden Befehl aus, um Ihr Ubuntu-Repository zu aktualisieren und das ‘elasticsearch’-Paket zu installieren. Geben Sie ‘ Y ‘ ein, um zu bestätigen.

sudo apt update && sudo apt install elasticsearch

Nach der Installation öffnen Sie die Elasticsearch-Konfigurationsdatei ‘ /etc/elasticsearch/elasticsearch.yml ‘ mit dem ‘ nano ‘-Editor.

sudo nano /etc/elasticsearch/elasticsearch.yml

Ändern Sie den Standardwert ‘ cluster.name ‘ und setzen Sie ‘ action.auto_create_index ‘ auf ‘ false ‘ wie folgt:

cluster.name: graylog  
action.auto_create_index: false

Speichern Sie die Datei und beenden Sie den Editor.

Führen Sie jetzt den folgenden ‘ systemctl ‘-Befehl aus, um den systemd-Manager neu zu laden, den Elasticsearch-Dienst zu starten und zu aktivieren.

sudo systemctl daemon-reload  
sudo systemctl enable --now elasticsearch

Mit Elasticsearch, das läuft, können Sie es mit dem folgenden Befehl überprüfen.

sudo systemctl status elasticsearch

Die folgende Ausgabe bestätigt, dass Elasticsearch läuft.

Sie können Elasticsearch auch mit dem folgenden ‘ curl ‘-Befehl überprüfen.

curl -X GET http://localhost:9200

Wenn Elasticsearch läuft, können Sie die Versionsnummer und den Clusternamen wie folgt sehen.

Graylog installieren

Jetzt, da Sie MongoDB und Elasticsearch installiert haben, sind Sie bereit, Graylog auf Ihrem Server zu installieren. In diesem Abschnitt installieren Sie Graylog und richten die Passwortauthentifizierung für Ihre Installation ein.

Laden Sie das Graylog-Repository-Paket mit dem ‘ wget ‘-Befehl herunter und installieren Sie es mit dem ‘ dpkg ‘-Befehl wie folgt:

wget https://packages.graylog2.org/repo/packages/graylog-6.1-repository_latest.deb  
sudo dpkg -i graylog-6.1-repository_latest.deb

Führen Sie jetzt den folgenden ‘ apt ‘-Befehl aus, um Ihr Ubuntu-Paketindex zu aktualisieren und das ‘ graylog-server ‘-Paket zu installieren. Geben Sie ‘ Y ‘ ein, um die Installation zu bestätigen.

sudo apt update && sudo apt install graylog-server

Nach der Installation müssen Sie zwei Passwörter generieren, ‘ password_secret ‘ und ‘ root_password_sha2 ‘, für Graylog.

Um das ‘ password_secret ‘ zu generieren, führen Sie den folgenden Befehl aus. Stellen Sie sicher, dass Sie das generierte Passwort kopieren.

< /dev/urandom tr -dc A-Z-a-z-0-9 | head -c${1:-96};echo;

Für das Passwort ‘ root_password_sha2 ‘ führen Sie den folgenden Befehl aus. Geben Sie Ihr Passwort ein, wenn Sie dazu aufgefordert werden, und kopieren Sie das generierte sha-Passwort.

echo -n "Enter Password: " && head -1 

Jetzt, da Sie die Graylog-Passwörter generiert haben, werden Sie die Graylog-Konfigurationsdatei ändern.

Öffnen Sie die Datei ‘ /etc/graylog/server/server.conf ‘ mit dem folgenden ‘ nano ‘-Editor.

sudo nano /etc/graylog/server/server.conf

Fügen Sie Ihr generiertes Passwort sowohl für ‘ password_secret ‘ als auch für ‘ root_password_sha2 ‘ ein. Und ändern Sie dann die Standard- ‘ http_bind_address ‘ auf Ihre lokale IP-Adresse.

password_secret = PoMVlAiuJLA89rNAtLWz0PF7TLwX3JEQD7zp1kfOGAwdr0P-oQ0HKoebpevpPK2Q2quvjmqHQreP1yQYTX0jDjIe3JcBU5J  
root_password_sha2 = a7fdfe53e2a13cb602def10146388c65051c67e60ee55c051668a1c709449111  
http_bind_address = 192.168.10.60:9000

Speichern Sie die Datei und beenden Sie den Editor.

Führen Sie als Nächstes den folgenden ‘ systemctl ‘-Befehl aus, um den systemd-Manager neu zu laden, den ‘ graylog-server ‘-Dienst zu starten und zu aktivieren.

sudo systemctl daemon-reload  
sudo systemctl enable --now graylog-server

Überprüfen Sie zuletzt den Status des ‘ graylog-server ‘ mit dem Befehl. Wenn Ihre Installation erfolgreich ist, sehen Sie, dass Graylog auf Ihrem Ubuntu-Server läuft.

sudo systemctl status graylog-server

Graylog konfigurieren

An diesem Punkt läuft Graylog auf Ihrem Ubuntu-Server. Jetzt werden Sie Graylog über einen Webbrowser konfigurieren.

Bevor Sie auf Graylog zugreifen, überprüfen Sie die Protokolldatei ‘ /var/log/graylog-server/server.log ‘ mit dem folgenden Befehl. Kopieren Sie den Link zur Konfiguration Ihrer Graylog-Installation und fügen Sie ihn in Ihren Browser ein.

cat /var/log/graylog-server/server.log

Jetzt sehen Sie die erste Setup-Seite von Graylog. Hier konfigurieren Sie SSL-Zertifikate für den Graylog-Datenknoten wie folgt:

• Geben Sie den Namen Ihrer Organisation ein
Geben Sie die Ablaufdaten des Zertifikats ein
Überspringen Sie die Bereitstellung des Zertifikatsdatenknotens

Sobald Sie fertig sind, klicken Sie auf ‘ Resume startup ‘, um fortzufahren.

Jetzt werden Sie zur Anmeldeseite von Graylog weitergeleitet. Geben Sie den Standardbenutzer ‘ admin ‘ mit dem Passwort aus der Option ‘ root_password_sha2 ‘ ein.

Wenn Sie den richtigen Benutzernamen und das richtige Passwort haben, erhalten Sie das Graylog-Dashboard wie folgt:

Fazit

Herzlichen Glückwunsch! Sie haben die Installation von Graylog auf dem Ubuntu 24.04-Server abgeschlossen. Sie haben Graylog zusammen mit MongoDB 7.x und Elasticsearch 7.x zum Laufen gebracht. Von hier aus können Sie jetzt neue Graylog-Eingaben erstellen, damit Sie Protokolle an Ihren Graylog-Server senden können.