Comment installer Graylog sur AlmaLinux 9

Graylog est une plateforme de gestion des journaux gratuite et open-source pour capturer, stocker et permettre l’analyse en temps réel de vos données et journaux. Il est écrit en Java et construit sur d’autres logiciels open-source comme MongoDB et Elasticsearch. Graylog fournit l’une des plateformes de gestion des journaux centralisée les plus efficaces, rapides et flexibles. Avec Graylog, vous pouvez envoyer et analyser à la fois des données structurées et non structurées provenant de presque n’importe quelle source de données.

Dans ce guide, nous allons passer en revue l’installation de Graylog en tant que système de gestion des journaux centralisé sur un serveur AlmaLinux 9. Vous installerez le serveur Graylog, puis configurerez des entrées pour que les clients envoient des journaux au serveur Graylog.

Prérequis

Pour que vous puissiez compléter ce guide, assurez-vous d’avoir les éléments suivants :

• Un serveur AlmaLinux 9 avec au moins 4 Go de mémoire - Dans ce cas, nous utiliserons un serveur AlmaLinux avec 8 Go de mémoire et l’adresse IP 192.168.10.20.
• Un utilisateur non-root avec des privilèges d’administrateur.

Configuration des dépôts

Pour commencer ce guide, vous allez ajouter de nouveaux dépôts à votre machine AlmaLinux 9. Vous ajouterez le dépôt de MongoDB 6.x, Opensearch 2.x et le Graylog 5.x à votre système.

Tout d’abord, exécutez la commande dnf ci-dessous pour installer curl sur votre système.

sudo dnf install curl -y

Maintenant, copiez et exécutez la commande suivante pour ajouter le dépôt MongoDB. Le serveur Graylog nécessite au moins MongoDB v6.x.

cat <

Ensuite, exécutez la commande suivante pour ajouter le dépôt Opensearch. Opensearch est une alternative à Elasticsearch, qui est recommandé d’utiliser dans la nouvelle version de Graylog. Dans ce cas, nous utiliserons Opensearch v2.x.

sudo curl -SL https://artifacts.opensearch.org/releases/bundle/opensearch/2.x/opensearch-2.x.repo -o /etc/yum.repos.d/opensearch-2.x.repo

Maintenant, exécutez la commande ci-dessous pour ajouter le dépôt Graylog à votre système. Au moment de la rédaction de cet article, la dernière version du serveur Graylog est v5.1.

sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-5.1-repository_latest.rpm

Enfin, exécutez la commande dnf ci-dessous pour vérifier les dépôts disponibles sur votre serveur AlmaLinux.

sudo dnf repolist

Si cela réussit, vous devriez voir le dépôt de MongoDB 6.x, Opensearch 2.x et le serveur Graylog.

Installation des dépendances

Après avoir ajouté les dépôts, vous allez ensuite installer MongoDB 6.x et Opensearch 2.x via le gestionnaire de paquets DNF. MongoDB sera utilisé pour les données de chaîne, et Opensearch sera le moteur de recherche principal pour le serveur Graylog.

Exécutez la commande dnf ci-dessous pour installer MongoDB et Opensearch. Saisissez y lorsque vous êtes invité à confirmer, puis appuyez sur ENTRÉE.

sudo dnf install mongodb-org opensearch

Une fois MongoDB et Opensearch installés, exécutez la commande systemctl ci-dessous pour recharger le gestionnaire systemd.

sudo systemctl daemon-reload

Ensuite, démarrez et activez le service MongoDB en utilisant la commande ci-dessous.

sudo systemctl start mongod  
sudo systemctl enable mongod

Démarrez et activez le service Opensearch en utilisant la commande ci-dessous.

sudo systemctl start opensearch  
sudo systemctl enable opensearch

Enfin, exécutez la commande ci-dessous pour vérifier l’état des services MongoDB et Opensearch. S’ils fonctionnent, l’état du service devrait être actif (en cours d’exécution).

sudo systemctl status mongod  
sudo systemctl status opensearch

Vérification de l’état du service MongoDB.

Vérification de l’état du service Opensearch.

Configuration d’Opensearch

Pour le déploiement de Graylog, il est recommandé d’utiliser Opensearch comme moteur de recherche par défaut. Une alternative à Opensearch est Elasticsearch mais ne prend en charge que la version Elasticsearch v7.x. Dans la section suivante, vous allez configurer Opensearch comme moteur de recherche par défaut pour votre serveur Graylog.

Tout d’abord, ouvrez le fichier de configuration par défaut d’Opensearch /etc/opensearch/opensearch.yml en utilisant la commande de l’éditeur nano suivante.

sudo nano /etc/opensearch/opensearch.yml

Décommentez le paramètre cluster.name et saisissez le nom de votre cluster Opensearch, node.name et saisissez le nom d’hôte de votre système, puis network.host et saisissez votre adresse IP interne. Dans ce cas, le nom du cluster sera graylog avec le nom d’hôte graylog-alma et l’adresse IP 192.168.10.20 (Cela fonctionne sur un réseau local).

cluster.name: graylog  
node.name: graylog-alma  
network.host: 0.0.0.0

Ajoutez les lignes suivantes pour configurer Opensearch comme un seul nœud/serveur, désactiver auto_create_index et le plugin de sécurité (uniquement à des fins de test).

discovery.type: single-node  
action.auto_create_index: false  
plugins.security.disabled: true

Enregistrez le fichier et quittez l’éditeur lorsque vous avez terminé.

Maintenant, ouvrez le fichier /etc/opensearch/jvm.options en utilisant l’éditeur nano pour configurer l’allocation de mémoire maximale pour le service Opensearch.

sudo nano /etc/opensearch/jvm.options

Changez l’allocation de mémoire par défaut pour votre installation Opensearch. Dans ce cas, Opensearch doit fonctionner avec une mémoire maximale de 2 Go.

-Xms2g  
-Xmx2g

Enregistrez le fichier et quittez l’éditeur après avoir terminé.

Ensuite, ouvrez le fichier /usr/lib/tmpfiles.d/opensearch.conf en utilisant la commande de l’éditeur nano suivante.

sudo nano /usr/lib/tmpfiles.d/opensearch.conf

Changez le chemin par défaut de /var/run/opensearch à /run/opensearch. Ce répertoire sera utilisé pour stocker des fichiers supplémentaires liés à Opensearch et sera créé automatiquement via cette configuration.

/run/opensearch

Enregistrez et fermez le fichier lorsque vous avez terminé.

Après cela, exécutez la commande suivante pour augmenter le vm.max_map_count à 262144. Cela est requis par Opensearch, et pour le rendre permanent, vous ajouterez un nouveau paramètre au fichier /etc/sysctl.conf.

sudo sysctl -w vm.max_map_count=262144  
sudo echo 'vm.max_map_count=262144' >> /etc/sysctl.conf

Maintenant, exécutez la commande systemctl ci-dessous pour redémarrer le service Opensearch et appliquer les modifications que vous avez apportées.

sudo systemctl restart opensearch

Opensearch doit fonctionner sur l’adresse IP locale de votre serveur, et dans ce cas, il fonctionne sur 192.168.10.20 avec le port par défaut 9200.

Exécutez la commande curl ci-dessous pour accéder à votre installation Opensearch.

curl 192.168.10.20:9200

Si la configuration d’Opensearch est réussie, vous devriez voir des informations détaillées sur votre installation Opensearch comme ceci :

À ce stade, Opensearch et MongoDB sont prêts. Dans la section suivante, vous allez commencer l’installation et la configuration du serveur Graylog.

Installation et configuration du serveur Graylog

Dans cette section, vous allez installer le serveur Graylog v5.x sur votre machine AlmaLinux 9 et configurer Graylog comme gestion des journaux centralisée pour votre infrastructure.

Exécutez la commande dnf ci-dessous pour installer le paquet graylog-server. Saisissez y pour confirmer l’installation et appuyez sur ENTRÉE pour continuer.

sudo dnf install graylog-server

Saisissez à nouveau y pour ajouter la clé GPG du dépôt Graylog.

Une fois le serveur Graylog installé, exécutez la commande suivante pour générer le password_secret pour le serveur Graylog. Copiez la chaîne aléatoire que vous avez générée.

< /dev/urandom tr -dc A-Z-a-z-0-9 | head -c${1:-96};echo;

Maintenant, exécutez la commande suivante pour générer le root_password_sha2 pour votre serveur graylog. Ce mot de passe sera utilisé pour se connecter au tableau de bord d’administration de Graylog.

echo -n "Entrez le mot de passe : " && head -1 

Saisissez votre mot de passe et copiez le mot de passe haché généré.

Dans l’exemple ci-dessous, JmGGtkruJ80LjnQBnz8QZ0gHjKpBZwWmH7JF0ZBa9iBS999bTlQfViaQj7jAH-XgIVcdVcDVYyy3x5Dh7fEXCPhbrSUXX1G1 est le password secret et 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8 est le root_password_sha2 généré pour votre serveur Graylog.

Ensuite, ouvrez la configuration de Graylog /etc/graylog/server/server.conf en utilisant l’éditeur nano.

sudo nano /etc/graylog/server/server.conf

Saisissez le password secret généré dans le paramètre password_secret et changez le root_password_sha2 par défaut avec le nouveau mot de passe que vous avez généré.

password_secret = R8zwuO2NDewUcwRFQ0QDm07tn6AppmwThty0aagxOoqMDWNqPJLwrffpz7DdQyQVY1uHq54QwgYMNkZnBLuXQf3B1giq5RKX  
...  
root_password_sha2 = a7fdfe53e2a13cb602def10146388c65051c67e60ee55c051668a1c709449111

Décommentez le paramètre http_bind_address et changez l’adresse IP avec votre adresse IP interne suivie du port par défaut du serveur Graylog 9000.

http_bind_address = 192.168.10.20:9000

Enregistrez le fichier et fermez l’éditeur.

Maintenant, exécutez la commande systemctl ci-dessous pour recharger le gestionnaire systemd.

sudo systemctl daemon-reload

Ensuite, démarrez et activez le serveur Graylog en utilisant la commande ci-dessous.

sudo systemctl start graylog-server  
sudo systemctl enable graylog-server

Enfin, vérifiez l’état du serveur Graylog en utilisant la commande suivante. Si Graylog fonctionne, vous devriez obtenir une sortie actif (en cours d’exécution) sur votre terminal.

sudo systemctl status graylog-server

De plus, vous pouvez également vérifier le serveur Graylog en vérifiant la liste des ports ouverts sur votre système en utilisant la commande ss ci-dessous.

ss -tulpn | grep 9000

Si cela réussit, vous devriez voir que le serveur Graylog utilise ce port 9000.

Configuration de Firewalld et SELinux

Après avoir installé et configuré le serveur Graylog, la prochaine étape consiste à configurer SELinux et firewalld. Dans ce cas, SELinux fonctionne en mode d’application et firewalld est en cours d’exécution.

Exécutez la commande dnf ci-dessous pour installer les outils de gestion de SELinux sur votre serveur AlmaLinux. Saisissez y lorsque vous y êtes invité, puis appuyez sur ENTRÉE pour continuer.

sudo dnf install policycoreutils policycoreutils-python-utils

Maintenant, exécutez la commande suivante pour ajouter certaines politiques SELinux et autoriser les ports pour certains services tels que le port du serveur Graylog 9000, le port MongoDB 27017 et le port Opensearch 9200.

sudo setsebool -P httpd_can_network_connect 1  
sudo semanage port -a -t http_port_t -p tcp 9000  
sudo semanage port -a -t http_port_t -p tcp 9200  
sudo semanage port -a -t mongod_port_t -p tcp 27017

Ensuite, exécutez la commande firewall-cmd ci-dessous pour ajouter le port du serveur Graylog 9000 à firewalld et recharger firewalld pour appliquer les modifications.

sudo firewall-cmd --add-port=9000/tcp --permanent  
sudo firewall-cmd --reload

Enfin, exécutez la commande suivante pour vérifier la liste des règles de firewalld de votre système. Assurez-vous que le port 9000 est disponible sur votre firewalld.

sudo firewall-cmd --list-all

Accéder au serveur Graylog

Avec la configuration réussie de SELinux et firewalld, vous pouvez maintenant accéder à votre installation du serveur Graylog.

Lancez votre navigateur web préféré et visitez l’adresse IP de votre serveur AlmaLinux suivie du port 9000 (c’est-à-dire : http://192.168.10.20:9000/). Si l’installation de graylog est réussie, vous devriez voir la page de connexion Graylog comme suit.

Connectez-vous avec l’utilisateur par défaut admin et le mot de passe que vous avez généré (le mot de passe root_password_sha2).

Si vous avez le bon utilisateur et le bon mot de passe, le tableau de bord d’administration de Graylog s’affichera dans votre navigateur.

Créer la première entrée Graylog

Après vous être connecté au serveur Graylog, la première chose que vous devez faire est de créer de nouvelles entrées qui seront utilisées comme récepteur de journaux du système de surveillance cible. Il existe deux types d’entrées Graylog, les entrées Listener et les entrées Pull.

Des exemples d’entrées Listener sont Syslog TCP/UDP, Beats TCP, GELF TCP, CEF TCP et Netflow TCP. Quelques exemples d’entrées Pull sont CEF AMQP et Kafka, Raw/Plaintext AMQP et Kafka, et Syslog AMQP et Kafka.

Dans la section suivante, vous allez créer la première entrée Graylog en utilisant Syslog UDP.

Cliquez sur le menu Système et sélectionnez Entrées.

Sélectionnez le type d’entrée que vous souhaitez créer dans le menu déroulant et cliquez sur Lancer une nouvelle entrée. Dans ce cas, nous allons créer un type d’entrée Syslog UDP.

Tapez le nom de l’entrée, l’adresse IP interne et le port où la nouvelle entrée sera en cours d’exécution. Dans ce cas, nous allons créer une entrée Syslog UDP graylog-alma qui sera en cours d’exécution sur une adresse IP interne 0.0.0.0 avec le port 5142.

Ensuite, faites défiler vers le bas de la page et vous devriez voir la nouvelle entrée graylog-alma avec le statut en cours d’exécution.

Enfin, revenez au serveur terminal et exécutez la commande firewall-cmd ci-dessous pour ouvrir le port 5142 qui sera utilisé par l’entrée graylog-alma.

sudo firewall-cmd --add-port=5142/udp --permanent  
sudo firewall-cmd --reload

Vérifiez la liste des ports ouverts sur firewalld en utilisant la commande suivante. Assurez-vous que le port 5142 est disponible sur firewalld.

sudo firewall-cmd --list-all

Envoi de journaux à Graylog via Rsyslog

Après avoir créé l’entrée Syslog UDP sur le serveur Graylog, vous pouvez maintenant envoyer des messages de journal au serveur Graylog. Dans la section suivante, vous enverrez des journaux d’une machine Linux au serveur Graylog en utilisant Rsyslog.

Créez une nouvelle configuration rsyslog supplémentaire /etc/rsyslog.d/graylog.conf en utilisant la commande de l’éditeur nano suivante.

sudo nano /etc/rsyslog.d/graylog.conf

Insérez la configuration suivante et assurez-vous de changer l’adresse IP et le port avec les détails de l’entrée graylog-alma.

*.*@192.168.10.20:5142;RSYSLOG_SyslogProtocol23Format

Enregistrez et quittez le fichier lorsque vous avez terminé.

Maintenant, exécutez la commande systemctl ci-dessous pour redémarrer le service Rsyslog et appliquer les modifications. Après le redémarrage de Rsyslog, la machine cible commencera à envoyer des journaux au serveur Graylog via le protocole syslog à l’entrée graylog-alma.

sudo systemctl restart rsyslog

Ensuite, revenez au tableau de bord d’administration de Graylog et cliquez sur le menu Stream. Si votre installation est réussie, vous devriez voir les journaux détaillés de la machine cible disponibles sur le serveur Graylog.

Conclusion

Félicitations, vous avez terminé l’installation de Graylog en tant que système de gestion des journaux centralisé sur votre système AlmaLinux 9 ! Vous avez installé Graylog avec MongoDB et Opensearch et également configuré la première entrée Graylog via Syslog UDP. Vous pouvez maintenant explorer différents types d’entrées Graylog ou tirer parti du déploiement de Graylog avec plusieurs serveurs.