Comment installer Graylog sur Ubuntu 24.04

Graylog est une plateforme de gestion des journaux gratuite et open-source pour capturer, stocker et permettre l’analyse en temps réel de vos données et journaux. Il est écrit en Java et construit sur d’autres logiciels open-source comme MongoDB et Elasticsearch.

Graylog fournit l’une des plateformes de gestion des journaux centralisée les plus efficaces, rapides et flexibles. Avec Graylog, vous pouvez envoyer et analyser à la fois des données structurées et non structurées provenant de presque n’importe quelle source de données.

Dans ce tutoriel, vous apprendrez à installer le serveur Graylog sur Ubuntu 24.04. Vous installerez Graylog avec MongoDB et Elasticsearch.

Prérequis

Pour compléter ce tutoriel, assurez-vous d’avoir les éléments suivants :

• Un serveur Ubuntu 24.04 avec au moins 4 ou 8 Go de mémoire
• Un utilisateur non-root avec des privilèges d’administrateur

Installation de MongoDB

Pour installer Graylog, vous devez d’abord avoir MongoDB installé. À ce jour, Graylog ne prend en charge que MongoDB v5.x-7.x, et dans cette section, vous installerez MongoDB 7.x sur votre serveur Ubuntu.

Tout d’abord, exécutez la commande ci-dessous pour installer quelques dépendances.

sudo apt install apt-transport-https gnupg2 uuid-runtime pwgen curl dirmngr -y

Ajoutez maintenant la clé GPG et le dépôt MongoDB avec la commande suivante. Dans cet exemple, vous utiliserez MongoDB 7.0 pour la version précédente d’Ubuntu.

curl -fsSL  | \  
sudo gpg -o /usr/share/keyrings/mongodb-server-7.0.gpg \  
--dearmor

echo "deb [ arch=amd64,arm64 signed-by=/usr/share/keyrings/mongodb-server-7.0.gpg ] https://repo.mongodb.org/apt/ubuntu jammy/mongodb-org/7.0 multiverse" | \  
sudo tee /etc/apt/sources.list.d/mongodb-org-7.0.list

Une fois le dépôt ajouté, exécutez la commande ‘apt’ ci-dessous pour mettre à jour votre index de paquets Ubuntu et installer MongoDB sur votre système.

sudo apt update && sudo apt install mongodb-org

Entrez ‘ Y ‘ pour confirmer l’installation.

Après l’installation, démarrez et activez le service ‘ mongod ‘ avec la commande ci-dessous.

sudo systemctl enable --now mongod

Enfin, vérifiez le service ‘ mongod ‘ pour vous assurer que le service fonctionne. Vous devriez voir que MongoDB fonctionne sur votre système.

sudo systemctl status mongod

Installation d’Elasticsearch

Après avoir installé MongoDB, vous devez installer Elasticsearch. Et avant cela, vous devez d’abord installer Java OpenJDK, puis installer Elasticsearch. Pour l’instant, le serveur Graylog ne prend en charge que Elasticsearch v7.x.

Pour installer Java OpenJDK, exécutez la commande ‘ apt ‘ ci-dessous. Entrez ‘ Y ‘ pour procéder à l’installation.

sudo apt install openjdk-11-jre-headless

Vérifiez maintenant la version de Java avec ce qui suit. Vous devriez voir que Java OpenJDK 11 a été installé.

java --version

Après l’installation de Java, vous êtes prêt à installer Elasticsearch.

Exécutez la commande ci-dessous pour ajouter la clé GPG et le dépôt pour Elasticsearch. Dans cet exemple, vous installerez Elasticsearch 7.x.

wget -qO -  | apt-key add -  
echo "deb https://artifacts.elastic.co/packages/oss-7.x/apt stable main" | \  
sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list

Maintenant, exécutez la commande ci-dessous pour mettre à jour votre dépôt Ubuntu et installer le paquet ‘elasticsearch’. Entrez ‘ Y ‘ pour confirmer.

sudo apt update && sudo apt install elasticsearch

Après l’installation, ouvrez le fichier de configuration d’Elasticsearch ‘ /etc/elasticsearch/elasticsearch.yml ‘ avec l’éditeur ‘ nano ‘.

sudo nano /etc/elasticsearch/elasticsearch.yml

Changez le ‘ cluster.name ‘ par défaut et définissez ‘ action.auto_create_index ‘ sur ‘ false ‘ comme suit :

cluster.name: graylog  
action.auto_create_index: false

Enregistrez le fichier et quittez l’éditeur.

Exécutez maintenant la commande ‘ systemctl ‘ ci-dessous pour recharger le gestionnaire systemd, démarrer et activer le service Elasticsearch.

sudo systemctl daemon-reload  
sudo systemctl enable --now elasticsearch

Avec Elasticsearch en cours d’exécution, vous pouvez le vérifier avec la commande ci-dessous.

sudo systemctl status elasticsearch

La sortie suivante confirme qu’Elasticsearch fonctionne.

Vous pouvez également vérifier Elasticsearch avec la commande ‘ curl ‘ ci-dessous.

curl -X GET http://localhost:9200

Si Elasticsearch fonctionne, vous pouvez voir son numéro de version et le nom du cluster comme suit.

Installation de Graylog

Maintenant que vous avez installé MongoDB et Elasticsearch, vous êtes prêt à installer Graylog sur votre serveur. Dans cette section, vous installerez Graylog et configurerez l’authentification par mot de passe pour votre installation.

Téléchargez le paquet de dépôt Graylog en utilisant la commande ‘ wget ‘ et installez-le avec la commande ‘ dpkg ‘ comme suit :

wget https://packages.graylog2.org/repo/packages/graylog-6.1-repository_latest.deb  
sudo dpkg -i graylog-6.1-repository_latest.deb

Exécutez maintenant la commande ‘ apt ‘ ci-dessous pour mettre à jour votre index de paquets Ubuntu et installer le paquet ‘ graylog-server ‘. Entrez ‘ Y ‘ pour confirmer l’installation.

sudo apt update && sudo apt install graylog-server

Après l’installation, vous devez générer deux mots de passe, ‘ password_secret ‘ et ‘ root_password_sha2 ‘, pour Graylog.

Pour générer le ‘ password_secret ‘, exécutez la commande ci-dessous. Assurez-vous de copier le mot de passe généré.

< /dev/urandom tr -dc A-Z-a-z-0-9 | head -c${1:-96};echo;

Pour le mot de passe ‘ root_password_sha2 ‘, exécutez la commande suivante. Entrez votre mot de passe lorsqu’on vous le demande et copiez le mot de passe sha généré.

echo -n "Enter Password: " && head -1 

Maintenant que vous avez généré les mots de passe Graylog, vous allez modifier le fichier de configuration de Graylog.

Ouvrez le fichier ‘ /etc/graylog/server/server.conf ‘ avec l’éditeur ‘ nano ‘.

sudo nano /etc/graylog/server/server.conf

Collez votre mot de passe généré pour ‘ password_secret ‘ et ‘ root_password_sha2 ‘. Ensuite, changez le ‘ http_bind_address ‘ par défaut par votre adresse IP locale.

password_secret = PoMVlAiuJLA89rNAtLWz0PF7TLwX3JEQD7zp1kfOGAwdr0P-oQ0HKoebpevpPK2Q2quvjmqHQreP1yQYTX0jDjIe3JcBU5J  
root_password_sha2 = a7fdfe53e2a13cb602def10146388c65051c67e60ee55c051668a1c709449111  
http_bind_address = 192.168.10.60:9000

Enregistrez le fichier et quittez l’éditeur.

Ensuite, exécutez la commande ‘ systemctl ‘ suivante pour recharger le gestionnaire systemd, démarrer et activer le service ‘ graylog-server ‘.

sudo systemctl daemon-reload  
sudo systemctl enable --now graylog-server

Enfin, vérifiez l’état du ‘ graylog-server ‘ en utilisant la commande. Si votre installation est réussie, vous verrez que Graylog fonctionne sur votre serveur Ubuntu.

sudo systemctl status graylog-server

Configuration de Graylog

À ce stade, Graylog fonctionne sur votre serveur Ubuntu. Vous allez maintenant configurer Graylog via un navigateur web.

Avant d’accéder à Graylog, vérifiez le fichier journal ‘ /var/log/graylog-server/server.log ‘ avec la commande ci-dessous. Copiez le lien pour configurer votre installation Graylog et collez-le dans votre navigateur.

cat /var/log/graylog-server/server.log

Vous verrez maintenant la page de configuration initiale de Graylog. Ici, vous configurerez les certificats SSL pour le nœud de données Graylog comme suit :

• Entrez le nom de votre organisation
Entrez les jours d’expiration du certificat
Ignorez la provision de données du nœud de certificat

Une fois terminé, cliquez sur ‘ Resume startup ‘ pour continuer.

Vous serez maintenant redirigé vers la page de connexion Graylog. Entrez l’utilisateur par défaut ‘ admin ‘ avec le mot de passe dans l’option ‘ root_password_sha2 ‘.

Si vous avez le bon nom d’utilisateur et le bon mot de passe, vous obtiendrez le tableau de bord Graylog comme suit :

Conclusion

Félicitations ! Vous avez terminé l’installation de Graylog sur le serveur Ubuntu 24.04. Vous avez Graylog opérationnel avec MongoDB 7.x et Elasticsearch 7.x. À partir de là, vous pouvez maintenant créer de nouvelles entrées Graylog afin d’envoyer des journaux à votre serveur Graylog.