Installieren und Konfigurieren des Graylog-Monitoring-Servers Ubuntu 20.04

Graylog ist ein kostenloses und Open-Source-Tool zur Protokollverwaltung, das verwendet werden kann, um Protokolle von den Netzwerksystemen von einem zentralen Server aus zu überwachen. Es verwendet Elasticsearch, um Protokolldaten zu speichern und Suchfunktionen bereitzustellen, und MongoDB zur Speicherung von Metainformationen. Es hilft Ihnen, eine große Menge an Daten in einem einfach lesbaren Format zu überwachen, zu durchsuchen und zu analysieren.

In diesem Tutorial zeigen wir Ihnen, wie Sie Graylog auf einem Ubuntu 20.04-Server installieren.

Voraussetzungen

• Ein Server, der Ubuntu 20.04 mit mindestens 4 GB RAM ausführt
• Ein Root-Passwort ist konfiguriert.

Erste Schritte

Zuerst müssen Sie Ihre Systempakete auf die neueste Version aktualisieren. Sie können sie alle mit dem folgenden Befehl aktualisieren:

apt-get update -y

Nachdem Sie alle Pakete aktualisiert haben, müssen Sie auch einige Abhängigkeiten auf Ihrem Server installieren. Sie können alle mit dem folgenden Befehl installieren:

apt-get install apt-transport-https gnupg2 uuid-runtime pwgen curl dirmngr -y

Sobald alle erforderlichen Abhängigkeiten installiert sind, können Sie mit dem nächsten Schritt fortfahren.

Java installieren

Graylog benötigt Java, um auf Ihrem Server installiert zu sein. Falls nicht installiert, können Sie es mit dem folgenden Befehl installieren:

apt-get install openjdk-11-jre-headless -y

Sobald Java installiert ist, können Sie die installierte Version von Java mit dem folgenden Befehl überprüfen:

java -version

Sie sollten die folgende Ausgabe erhalten:

openjdk version "11.0.8" 2020-07-14
OpenJDK Runtime Environment (build 11.0.8+10-post-Ubuntu-0ubuntu120.04)
OpenJDK 64-Bit Server VM (build 11.0.8+10-post-Ubuntu-0ubuntu120.04, mixed mode, sharing)

Sobald Sie fertig sind, können Sie mit dem nächsten Schritt fortfahren.

Elasticsearch installieren und konfigurieren

Graylog verwendet Elasticsearch, um Protokolle von externen Ressourcen zu speichern. Daher müssen Sie Elasticsearch auf Ihrem System installieren.

Standardmäßig ist die neueste Version von Elasticsearch nicht im Standard-Repository von Ubuntu verfügbar. Daher müssen Sie das Elasticsearch-Repository in Ihrem System hinzufügen.

Zuerst laden Sie den Elasticsearch GPG-Schlüssel mit dem folgenden Befehl herunter und fügen ihn hinzu:

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add -

Als Nächstes fügen Sie das Elasticsearch-Repository mit dem folgenden Befehl hinzu:

echo "deb https://artifacts.elastic.co/packages/oss-6.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-6.x.list

Als Nächstes aktualisieren Sie das Repository und installieren Elasticsearch mit dem folgenden Befehl:

apt-get update -y  
apt-get install elasticsearch-oss -y

Nachdem Sie Elasticsearch installiert haben, müssen Sie die Konfigurationsdatei von Elasticsearch bearbeiten und den Clusternamen definieren. Sie können dies mit dem folgenden Befehl tun:

nano /etc/elasticsearch/elasticsearch.yml

Definieren Sie Ihren Clusternamen als graylog und fügen Sie die folgende Zeile hinzu:

cluster.name: graylog
action.auto_create_index: false

Speichern Sie die Datei und schließen Sie sie, wenn Sie fertig sind. Starten Sie dann den Elasticsearch-Dienst und aktivieren Sie ihn, damit er beim Booten gestartet wird, mit dem folgenden Befehl:

systemctl daemon-reload  
systemctl start elasticsearch  
systemctl enable elasticsearch

Sie können auch den Status des Elasticsearch-Dienstes mit dem folgenden Befehl überprüfen:

systemctl status elasticsearch

Sie sollten die folgende Ausgabe erhalten:

? elasticsearch.service - Elasticsearch
     Loaded: loaded (/lib/systemd/system/elasticsearch.service; disabled; vendor preset: enabled)
     Active: active (running) since Sat 2020-09-05 08:41:18 UTC; 9s ago
       Docs: http://www.elastic.co
   Main PID: 7085 (java)
      Tasks: 17 (limit: 2353)
     Memory: 1.1G
     CGroup: /system.slice/elasticsearch.service
             ??7085 /bin/java -Xms1g -Xmx1g -XX:+UseConcMarkSweepGC -XX:CMSInitiatingOccupancyFraction=75 -XX:+UseCMSInitiatingOccupancyOnly ->

Sep 05 08:41:18 ubuntu2004 systemd[1]: Started Elasticsearch.

Überprüfen Sie nun die Elasticsearch-Antwort mit dem folgenden Befehl:

curl -X GET http://localhost:9200

Sie sollten die folgende Ausgabe erhalten:

{
  "name" : "vzg8H4j",
  "cluster_name" : "graylog",
  "cluster_uuid" : "6R9SlXxNSUGe6aclcJa9VQ",
  "version" : {
    "number" : "6.8.12",
    "build_flavor" : "oss",
    "build_type" : "deb",
    "build_hash" : "7a15d2a",
    "build_date" : "2020-08-12T07:27:20.804867Z",
    "build_snapshot" : false,
    "lucene_version" : "7.7.3",
    "minimum_wire_compatibility_version" : "5.6.0",
    "minimum_index_compatibility_version" : "5.0.0"
  },
  "tagline" : "You Know, for Search"
}

MongoDB-Server installieren

Graylog verwendet MongoDB als Datenbank. Daher müssen Sie die MongoDB-Datenbank auf Ihrem Server installieren. Sie können sie mit dem folgenden Befehl installieren:

apt-get install mongodb-server -y

Sobald MongoDB installiert ist, starten Sie den MongoDB-Dienst und aktivieren Sie ihn, damit er beim Systemneustart gestartet wird, mit dem folgenden Befehl:

systemctl start mongodb  
systemctl enable mongodb

Sobald Sie fertig sind, können Sie mit dem nächsten Schritt fortfahren.

Graylog installieren und konfigurieren

Standardmäßig ist das Graylog-Paket nicht im Standard-Repository von Ubuntu verfügbar. Daher müssen Sie das Graylog-Repository auf Ihrem Server installieren.

Sie können das Graylog-Repository-Paket mit dem folgenden Befehl herunterladen:

wget https://packages.graylog2.org/repo/packages/graylog-3.3-repository_latest.deb

Sobald der Download abgeschlossen ist, installieren Sie das heruntergeladene Paket mit dem folgenden Befehl:

dpkg -i graylog-3.3-repository_latest.deb

Als Nächstes aktualisieren Sie das Repository und installieren den Graylog-Server mit dem folgenden Befehl:

apt-get update -y  
apt-get install graylog-server -y

Nachdem Sie den Graylog-Server installiert haben, müssen Sie ein Geheimnis generieren, um die Benutzerpasswörter zu sichern. Sie können es mit dem folgenden Befehl generieren:

pwgen -N 1 -s 96

Sie sollten die folgende Ausgabe sehen:

Wv4VQWCAA9sRbL7pxPeY7tb9lSo50esEWgNXxXHypx0Og3CezMmQLdF2QzQdRSIXmNXKINjRvZpPTrvZv4k4NlJrFYTfOc3c

Als Nächstes müssen Sie auch ein sicheres Passwort für den Graylog-Admin-Benutzer generieren. Sie benötigen dieses Passwort, um sich in die Graylog-Weboberfläche einzuloggen. Sie können es mit dem folgenden Befehl generieren:

echo -n password | sha256sum

Sie sollten die folgende Ausgabe sehen:

5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8  -

Jetzt bearbeiten Sie die Hauptkonfigurationsdatei von Graylog und definieren beide Passwörter:

nano /etc/graylog/server/server.conf

Fügen Sie beide Passwörter, die Sie oben generiert haben, wie folgt ein:

password_secret = Wv4VQWCAA9sRbL7pxPeY7tb9lSo50esEWgNXxXHypx0Og3CezMmQLdF2QzQdRSIXmNXKINjRvZpPTrvZv4k4NlJrFYTfOc3c
root_password_sha2 = 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8   

Als Nächstes müssen Sie auch eine Bindadresse für Ihren Server definieren, wie unten gezeigt:

http_bind_address = 127.0.0.1:9000

Speichern Sie die Datei und schließen Sie sie, wenn Sie fertig sind, und starten Sie dann den Graylog-Dienst und aktivieren Sie ihn, damit er beim Systemneustart gestartet wird, mit dem folgenden Befehl:

systemctl daemon-reload  
systemctl start graylog-server  
systemctl enable graylog-server

Als Nächstes können Sie den Status des Graylog-Servers mit dem folgenden Befehl überprüfen:

systemctl status graylog-server

Sie sollten die folgende Ausgabe sehen:

? graylog-server.service - Graylog server
     Loaded: loaded (/lib/systemd/system/graylog-server.service; disabled; vendor preset: enabled)
     Active: active (running) since Sat 2020-09-05 08:50:16 UTC; 15min ago
       Docs: http://docs.graylog.org/
   Main PID: 8693 (graylog-server)
      Tasks: 156 (limit: 2353)
     Memory: 865.0M
     CGroup: /system.slice/graylog-server.service
             ??8693 /bin/sh /usr/share/graylog-server/bin/graylog-server
             ??8726 /usr/bin/java -Xms1g -Xmx1g -XX:NewRatio=1 -server -XX:+ResizeTLAB -XX:+UseConcMarkSweepGC -XX:+CMSConcurrentMTEnabled -XX>

Sep 05 08:50:16 ubuntu2004 systemd[1]: Started Graylog server.

Sie können auch das Graylog-Serverprotokoll mit dem folgenden Befehl überprüfen:

tail -f /var/log/graylog-server/server.log

Sobald der Graylog-Server erfolgreich gestartet wurde, sollten Sie die folgende Ausgabe erhalten:

2020-09-05T08:51:36.473Z INFO  [ServerBootstrap] Services started, startup times in ms: {InputSetupService [RUNNING]=59, JobSchedulerService [RUNNING]=105, GracefulShutdownService [RUNNING]=106, OutputSetupService [RUNNING]=110, BufferSynchronizerService [RUNNING]=111, UrlWhitelistService [RUNNING]=153, JournalReader [RUNNING]=166, KafkaJournal [RUNNING]=222, MongoDBProcessingStatusRecorderService [RUNNING]=240, ConfigurationEtagService [RUNNING]=259, EtagService [RUNNING]=302, StreamCacheService [RUNNING]=306, LookupTableService [RUNNING]=376, PeriodicalsService [RUNNING]=655, JerseyService [RUNNING]=58701}
2020-09-05T08:51:36.477Z INFO  [ServerBootstrap] Graylog server up and running.

An diesem Punkt ist der Graylog-Server gestartet und hört auf Port 9000.

Nginx als Reverse-Proxy für Graylog konfigurieren

Als Nächstes müssen Sie Nginx installieren und konfigurieren, um als Reverse-Proxy auf den Graylog-Server zuzugreifen.

Zuerst installieren Sie den Nginx-Server mit dem folgenden Befehl:

apt-get install nginx -y

Nachdem Sie den Nginx-Server installiert haben, erstellen Sie eine neue Nginx-virtuelle Hostkonfigurationsdatei mit dem folgenden Befehl:

nano /etc/nginx/sites-available/graylog.conf

Fügen Sie die folgenden Zeilen hinzu:

server {
    listen 80;
    server_name graylog.example.org;

    location / {
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-Host $host;
      proxy_set_header X-Forwarded-Server $host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Graylog-Server-URL http://$server_name/;
      proxy_pass       http://127.0.0.1:9000;
    }
}

Speichern Sie die Datei und schließen Sie sie, wenn Sie fertig sind. Überprüfen Sie dann Nginx auf Syntaxfehler mit dem folgenden Befehl:

ginx -t

Sie sollten die folgende Ausgabe erhalten:

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

Als Nächstes aktivieren Sie die Nginx-virtuelle Hostkonfigurationsdatei mit dem folgenden Befehl:

ln -s /etc/nginx/sites-available/graylog.conf /etc/nginx/sites-enabled/

Schließlich starten Sie den Nginx-Dienst neu, um die Änderungen anzuwenden:

systemctl restart nginx

Überprüfen Sie als Nächstes den Status von Graylog mit dem folgenden Befehl:

systemctl status nginx

Sie sollten die folgende Ausgabe erhalten:

? nginx.service - Ein leistungsstarker Webserver und ein Reverse-Proxy-Server
     Loaded: loaded (/lib/systemd/system/nginx.service; enabled; vendor preset: enabled)
     Active: active (running) since Sat 2020-09-05 09:07:50 UTC; 20s ago
       Docs: man:nginx(8)
    Process: 9408 ExecStartPre=/usr/sbin/nginx -t -q -g daemon on; master_process on; (code=exited, status=0/SUCCESS)
    Process: 9419 ExecStart=/usr/sbin/nginx -g daemon on; master_process on; (code=exited, status=0/SUCCESS)
   Main PID: 9423 (nginx)
      Tasks: 3 (limit: 2353)
     Memory: 10.2M
     CGroup: /system.slice/nginx.service
             ??9423 nginx: master process /usr/sbin/nginx -g daemon on; master_process on;
             ??9424 nginx: worker process
             ??9425 nginx: worker process

Sep 05 09:07:50 ubuntu2004 systemd[1]: Starting Ein leistungsstarker Webserver und ein Reverse-Proxy-Server...
Sep 05 09:07:50 ubuntu2004 systemd[1]: Started Ein leistungsstarker Webserver und ein Reverse-Proxy-Server.

Zugriff auf die Graylog-Weboberfläche

Öffnen Sie jetzt Ihren Webbrowser und geben Sie die URL http://graylog.example.com ein. Sie werden zur Anmeldeseite von Graylog weitergeleitet, wie unten gezeigt:

Geben Sie Ihren Admin-Benutzernamen, Ihr Passwort ein und klicken Sie auf die Schaltfläche Anmelden. Sie sollten das Graylog-Dashboard auf der folgenden Seite sehen:

Klicken Sie nun auf System >> Übersicht. Sie sollten den Status des Graylog-Servers auf der folgenden Seite sehen:

Fazit

Herzlichen Glückwunsch! Sie haben den Graylog-Server erfolgreich installiert und konfiguriert, mit Nginx als Reverse-Proxy auf Ubuntu 20.04. Sie können jetzt Graylog erkunden und einen Input erstellen, um Rsyslog-Protokolle von externen Quellen zu empfangen. Zögern Sie nicht, mich zu fragen, wenn Sie Fragen haben.