Graylog Installation · 7 min read · Dec 09, 2025

So richten Sie ein zentrales Protokollsystem mit Graylog auf Debian 11 ein

Graylog ist eine kostenlose und Open-Source-Protokollverwaltungsplattform zum Erfassen, Speichern und Ermöglichen der Echtzeitanalyse Ihrer Daten und Protokolle. Es ist in Java geschrieben und basiert auf anderer Open-Source-Software wie MongoDB und Elasticsearch. Graylog bietet eine der effizientesten, schnellsten und flexibelsten zentralen Protokollverwaltungsplattformen.

Mit Graylog können Sie sowohl strukturierte als auch unstrukturierte Daten aus fast jeder Datenquelle senden und analysieren.

In diesem Tutorial zeigen wir Ihnen, wie Sie Graylog als zentrales Protokollierungssystem auf dem Debian 11-System installieren und konfigurieren. Außerdem zeigen wir Ihnen, wie Sie den Nginx-Webserver als Reverse-Proxy für den Graylog-Server einrichten.

Voraussetzungen

  • Ein Linux Debian 11-Server - mindestens mit 4 GB RAM.
  • Ein Nicht-Root-Benutzer mit sudo- oder Administratorrechten.

Installieren Sie grundlegende Paketabhängigkeiten

Im ersten Schritt dieses Tutorials installieren Sie einige grundlegende Paketabhängigkeiten, einschließlich Java und GnuPG.

Bevor Sie mit der Installation von Paketen beginnen, führen Sie den folgenden apt-Befehl aus, um Ihr aktuelles Debian-Repository zu aktualisieren und zu aktualisieren.

sudo apt update

Installieren Sie nun einige Paketabhängigkeiten für Graylog mit dem folgenden Befehl.

sudo apt install apt-transport-https openjdk-11-jre-headless uuid-runtime pwgen dirmngr gnupg wget

Geben Sie Y ein, um die Installation zu bestätigen, und drücken Sie ENTER, um fortzufahren.

install basic dependencies

Nachdem die Installation abgeschlossen ist, gehen Sie zum nächsten Schritt, um eine weitere Graylog-Abhängigkeit, MongoDB und Elasticsearch, zu installieren.

MongoDB installieren

Graylog verwendet die NoSQL-MongoDB-Datenbank, um alle Informationen zur Graylog-Konfiguration, Streams, Alarme, Benutzer, zwischengespeicherte Streams usw. zu speichern. Alle Informationen, die Sie in den Graylog-Weboberflächen sehen, werden in der MongoDB-NoSQL-Datenbank gespeichert, mit Ausnahme der Protokolle selbst. Die aktuelle Version von Graylog benötigt MongoDB v4 bis v4.4.

Führen Sie die folgenden Befehle aus, um den MongoDB-GPG-Schlüssel und das Repository zu Ihrem Debian-Server hinzuzufügen.

wget -qO - https://www.mongodb.org/static/pgp/server-4.2.asc | sudo apt-key add -  
echo "deb http://repo.mongodb.org/apt/debian buster/mongodb-org/4.2 main" | sudo tee /etc/apt/sources.list.d/mongodb-org-4.2.list

Aktualisieren Sie Ihr Debian-Repository mit dem folgenden Befehl.

sudo apt update

Wie Sie im Screenshot unten sehen können, wurde das MongoDB-Repository zu Ihrem Debian-Server hinzugefügt.

add mongodb repository

Installieren Sie als Nächstes die MongoDB-Pakete mit dem folgenden apt-Befehl.

sudo apt install -y mongodb-org

Die Installation der MongoDB-Datenbank beginnt.

install mongodb

Nachdem die MongoDB-Installation abgeschlossen ist, führen Sie den folgenden Befehl aus, um den systemd-Manager neu zu laden. Dies ist erforderlich, bevor Sie den MongoDB-Dienst starten.

sudo systemctl daemon-reload

Führen Sie nun den folgenden Befehl aus, um den MongoDB-Dienst zu aktivieren und neu zu starten. Der MongoDB-Dienst wird gestartet und läuft automatisch beim Systemstart.

sudo systemctl enable mongod.service  
sudo systemctl restart mongod.service

Überprüfen Sie den MongoDB-Dienst mit dem folgenden Befehl.

sudo systemctl status mongod

Wie Sie im folgenden Screenshot sehen können, läuft der MongoDB-Dienst und ist aktiviert.

start and verify mongodb

Gehen Sie nun zum nächsten Schritt, um Elasticsearch zu installieren.

Elasticsearch installieren

Nach der Installation der MongoDB-NoSQL-Datenbank müssen Sie nun Elasticsearch installieren. Der Graylog-Server verwendet Elasticsearch als Suchmaschine zum Suchen von Protokollen. In der aktuellen Version benötigt Graylog Elasticsearch v6.8 oder v7.x bis v7.10.

Bevor Sie Elasticsearch installieren, führen Sie den folgenden Befehl aus, um den Elasticsearch-GPG-Schlüssel und das Repository zu Ihrem Debian-System hinzuzufügen.

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -  
echo "deb https://artifacts.elastic.co/packages/oss-7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list

Aktualisieren und aktualisieren Sie nun Ihr Debian-Repository.

sudo apt update

Im folgenden Screenshot sehen Sie, dass das Elasticsearch-Repository zum Debian-Server hinzugefügt wurde.

add elasticsearch repository

Installieren Sie als Nächstes die Elasticsearch-Pakete mit dem folgenden apt-Befehl.

sudo apt install elasticsearch-oss

Die Installation von Elasticsearch beginnt.

install elasticsearch

Nachdem die Installation abgeschlossen ist, führen Sie den folgenden Befehl aus, um die Konfiguration zur Elasticsearch-Konfigurationsdatei /etc/elasticsearch/elasticsearch.yml hinzuzufügen. Die folgende Konfiguration erstellt einen neuen Elasticsearch-Cluster mit dem Namen “ graylog “ und deaktiviert das automatische Erstellen eines Index in Elasticsearch.

sudo tee -a /etc/elasticsearch/elasticsearch.yml > /dev/null << EOT  
cluster.name: graylog  
action.auto_create_index: false  
EOT

Bevor Sie den Elasticsearch-Dienst starten, führen Sie den folgenden Befehl aus, um den systemd-Manager neu zu laden.

sudo systemctl daemon-reload

Führen Sie nun die folgenden Befehle aus, um den Elasticsearch-Dienst zu aktivieren und neu zu starten. Dadurch wird Elasticsearch zum Systemstart hinzugefügt und der Dienst gestartet.

sudo systemctl enable elasticsearch.service  
sudo systemctl restart elasticsearch.service

Überprüfen Sie zuletzt den Elasticsearch-Dienst mit dem folgenden Befehl.

sudo systemctl status elasticsearch.service

Im folgenden Screenshot sehen Sie, dass der Elasticsearch-Dienst läuft und aktiviert ist.

start and verify elasticsearch

Zusätzlich können Sie die Elasticsearch-Installation auch überprüfen, indem Sie Elasticsearch mit curl aufrufen. Elasticsearch läuft auf dem Standardport 9200, also führen Sie den folgenden curl-Befehl aus.

curl http://localhost:9200/

Jetzt sehen Sie die Ausgabemeldung wie folgt. Elasticsearch v7.x mit dem Cluster namens graylog ist auf dem Debian-Server installiert.

verify elasticsearch

An diesem Punkt sind Sie nun bereit, den Graylog-Server auf dem Debian-Server zu installieren.

Graylog-Server installieren und konfigurieren

Um mit der Graylog-Installation zu beginnen, müssen Sie die Graylog-Repository-.deb-Datei herunterladen und mit dem folgenden Befehl installieren.

wget https://packages.graylog2.org/repo/packages/graylog-4.2-repository_latest.deb  
sudo dpkg -i graylog-4.2-repository_latest.deb

Aktualisieren und aktualisieren Sie nun Ihr Debian-Repository.

sudo apt update

Unten sehen Sie, dass das Graylog-Repository zum Debian-Server hinzugefügt wurde.

add graylog repository

Installieren Sie als Nächstes die Graylog-Pakete auf Ihrem Debian-Server mit dem folgenden apt-Befehl.

sudo apt install graylog-server graylog-enterprise-plugins graylog-integrations-plugins graylog-enterprise-integrations-plugins

Die Graylog-Installation beginnt jetzt.

Nachdem die Installation abgeschlossen ist, führen Sie den folgenden Befehl aus, um das Graylog password_secret zu generieren, das für die Passwortverschlüsselung und -salz verwendet wird. Das Graylog password_secret muss gleich sein, wenn Sie einen Graylog-Cluster mit mehreren Knoten ausführen. Außerdem benötigen Sie eine zufällige Zeichenfolge und Zahl mit mindestens 65 für das Graylog password_secret.

pwgen -N 1 -s 96

Kopieren Sie nun die generierte zufällige Zeichenfolge für das Graylog password_secret in Ihre Notizen.

Führen Sie als Nächstes den folgenden Befehl aus, um das verschlüsselte Passwort mit sha256 zu generieren. Dieses Passwort wird als Graylog-Administrationspasswort verwendet.

echo -n "Enter Password: " && head -1

Geben Sie Ihr Passwort für das Graylog-Administrationspasswort ein. Und Sie sehen das generierte verschlüsselte Passwort sha256. Kopieren Sie das verschlüsselte Passwort in Ihre Notizen.

Bearbeiten Sie als Nächstes die Graylog-Serverkonfiguration /etc/graylog/server/server.conf mit dem Nano-Editor.

sudo nano /etc/graylog/server/server.conf

Kopieren und fügen Sie das generierte Graylog password_secret und das Graylog-Administrationspasswort in root_password_sha2 wie folgt ein.

password_secret = Eqq4M8EHpKbGfgi6C05t19hJ5WmF3nkVS8yjwclYHtvwsTXRulNHEsaWuy85QUTNIUc6b2ovfRjvR7yD5kwNTPAJCCw39T3d  
root_password_sha2 = 05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223

Speichern Sie die Datei und schließen Sie sie, wenn Sie fertig sind.

Führen Sie nun den folgenden Befehl aus, um den systemd-Manager neu zu laden, bevor Sie den Graylog-Serverdienst starten.

sudo systemctl daemon-reload

Aktivieren und starten Sie nun den Graylog-Serverdienst mit dem folgenden Befehl.

sudo systemctl enable graylog-server.service  
sudo systemctl start graylog-server.service

Der Graylog-Server wird jetzt ausgeführt. Überprüfen Sie dies mit dem folgenden Befehl.

sudo systemctl status graylog-server.service

Im folgenden Screenshot sehen Sie, dass der Graylog-Serverdienst läuft und aktiviert ist.

verify graylog service

Sie haben nun die Graylog-Installation abgeschlossen, die auf dem Standard-Host mit Port 9000 läuft.

Nginx als Reverse-Proxy einrichten

Nachdem Sie die Graylog-Serverinstallation und -konfiguration abgeschlossen haben, installieren und konfigurieren Sie nun den Nginx-Webserver als Reverse-Proxy für den Graylog-Server. Dadurch können Sie Graylog mit Ihrem Domainnamen ausführen.

Installieren Sie das Nginx-Paket auf Ihrem Debian-Server mit dem folgenden Befehl.

sudo apt install nginx -y

Die Installation beginnt.

Nachdem die Installation abgeschlossen ist, erstellen Sie einen neuen Nginx-virtuellen Host oder Serverblock /etc/nginx/sites-available/graylog.conf mit dem Nano-Editor.

sudo nano /etc/nginx/sites-available/graylog.conf

Fügen Sie die folgende Nginx-Konfiguration hinzu. Dadurch wird Nginx als Reverse-Proxy für den Graylog-Server aktiviert, der auf http://127.0.0.1:9000/ läuft.

server  
{  
    listen 80 default_server;  
    listen [::]:80 default_server ipv6only=on;  
    server_name graylog.example.org;  
  
    location / {  
      proxy_set_header Host $http_host;  
      proxy_set_header X-Forwarded-Host $host;  
      proxy_set_header X-Forwarded-Server $host;  
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;  
      proxy_set_header X-Graylog-Server-URL http://$server_name/;  
      proxy_pass       http://127.0.0.1:9000;  
    }  
}

Speichern Sie die Datei und schließen Sie sie, wenn Sie fertig sind.

Führen Sie als Nächstes den folgenden Befehl aus, um die Konfiguration graylog.conf zu aktivieren. Überprüfen Sie dann die Nginx-Konfiguration.

sudo ln -s /etc/nginx/sites-available/graylog.conf /etc/nginx/sites-enabled/  
sudo nginx -t

Stellen Sie sicher, dass Sie die Ausgabemeldung wie “Test erfolgreich” erhalten.

Starten Sie zuletzt den Nginx-Dienst neu, um die neue virtuelle Hostkonfiguration mit dem folgenden Befehl anzuwenden.

sudo systemctl restart nginx

Öffnen Sie nun Ihren Webbrowser und besuchen Sie den Domainnamen für die Graylog-Installations-URL.

http://graylog.howtoforge.local/

Sie sehen die Graylog-Anmeldeseite unten. Geben Sie den Standard-Admin-Benutzer mit Ihrem Passwort (das root_password_sha2) ein und klicken Sie auf die Schaltfläche Anmelden.

graylog login page

Nachdem Sie sich angemeldet haben, sehen Sie das Graylog-Dashboard wie unten.

graylog dashboard

Sie haben nun Graylog unter dem Nginx-Reverse-Proxy erfolgreich ausgeführt.

Fazit

Herzlichen Glückwunsch! Sie haben nun die Installation und Konfiguration des Graylog-Servers auf dem Debian 11-Server abgeschlossen. Außerdem haben Sie die Nginx-Konfiguration als Reverse-Proxy für den Graylog-Server abgeschlossen.

Share: X/Twitter LinkedIn
#Graylog Installation

Erhalte neue Beiträge in deinem Posteingang.

Kein Spam. Jederzeit abmelden.