Comment configurer un système de journalisation centralisé avec Graylog sur Debian 11

Graylog est une plateforme de gestion des journaux gratuite et open-source pour capturer, stocker et permettre l’analyse en temps réel de vos données et journaux. Il est écrit en Java et construit sur d’autres logiciels open-source comme MongoDB et Elasticsearch. Graylog fournit l’une des plateformes de gestion des journaux centralisée les plus efficaces, rapides et flexibles.

Avec Graylog, vous pouvez envoyer et analyser à la fois des données structurées et non structurées provenant de presque n’importe quelle source de données.

Dans ce tutoriel, nous allons vous montrer comment installer et configurer Graylog en tant que système de journalisation centralisé sur le système Debian 11. De plus, nous vous montrerons comment configurer le serveur web Nginx en tant que proxy inverse pour le serveur Graylog.

Prérequis

Un serveur Linux Debian 11 - au moins avec 4 Go de RAM.
Un utilisateur non-root avec des privilèges sudo ou administrateur.

Installer les dépendances de base des paquets

Dans la première étape de ce tutoriel, vous allez installer quelques dépendances de paquets de base, y compris Java et GnuPG.

Avant de commencer à installer des paquets, exécutez la commande apt ci-dessous pour mettre à jour et rafraîchir votre dépôt Debian actuel.

sudo apt update

Maintenant, installez quelques dépendances de paquets pour Graylog en utilisant la commande ci-dessous.

sudo apt install apt-transport-https openjdk-11-jre-headless uuid-runtime pwgen dirmngr gnupg wget

Entrez Y pour confirmer l’installation et appuyez sur ENTRER pour continuer.

installer les dépendances de base

Après l’installation, passez à l’étape suivante pour installer une autre dépendance de Graylog, MongoDB et Elasticsearch.

Installation de MongoDB

Graylog utilise la base de données NoSQL MongoDB pour stocker toutes les informations de configuration de Graylog, les flux, les alertes, les utilisateurs, les flux mis en cache, etc. Toutes les informations que vous voyez sur les interfaces web de Graylog sont stockées dans la base de données NoSQL MongoDB, sauf pour les journaux eux-mêmes. La version actuelle de Graylog nécessite MongoDB v4 jusqu’à v4.4.

Exécutez les commandes ci-dessous pour ajouter la clé GPG de MongoDB et le dépôt à votre serveur Debian.

wget -qO - https://www.mongodb.org/static/pgp/server-4.2.asc | sudo apt-key add -  
echo "deb http://repo.mongodb.org/apt/debian buster/mongodb-org/4.2 main" | sudo tee /etc/apt/sources.list.d/mongodb-org-4.2.list

Rafraîchissez votre dépôt Debian en utilisant la commande suivante.

sudo apt update

Comme vous pouvez le voir sur la capture d’écran ci-dessous, le dépôt MongoDB a été ajouté à votre serveur Debian.

ajouter le dépôt mongodb

Ensuite, installez les paquets MongoDB en utilisant la commande apt ci-dessous.

sudo apt install -y mongodb-org

L’installation de la base de données MongoDB va commencer.

installer mongodb

Après l’installation de MongoDB, exécutez la commande suivante pour recharger le gestionnaire systemd. Cela est nécessaire avant de démarrer le service MongoDB.

sudo systemctl daemon-reload

Maintenant, exécutez la commande ci-dessous pour activer et redémarrer le service MongoDB. Le service MongoDB va démarrer et s’exécuter automatiquement au démarrage du système.

sudo systemctl enable mongod.service  
sudo systemctl restart mongod.service

Vérifiez le service MongoDB en utilisant la commande suivante.

sudo systemctl status mongod

Comme vous pouvez le voir sur la capture d’écran suivante, le service MongoDB est en cours d’exécution et il est activé.

démarrer et vérifier mongodb

Maintenant, passez à l’étape suivante pour installer Elasticsearch.

Installation d’Elasticsearch

Après avoir installé la base de données NoSQL MongoDB, vous devrez maintenant installer Elasticsearch. Le serveur Graylog utilise Elasticsearch comme moteur de recherche pour rechercher des journaux. À la version actuelle, Graylog nécessite Elasticsearch v6.8 ou v7.x jusqu’à v7.10.

Avant d’installer Elasticsearch, exécutez la commande suivante pour ajouter la clé GPG d’Elasticsearch et le dépôt à votre système Debian.

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -  
echo "deb https://artifacts.elastic.co/packages/oss-7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list

Maintenant, mettez à jour et rafraîchissez votre dépôt Debian.

sudo apt update

Dans la capture d’écran ci-dessous, le dépôt Elasticsearch a été ajouté au serveur Debian.

ajouter le dépôt elasticsearch

Ensuite, installez les paquets Elasticsearch en utilisant la commande apt ci-dessous.

sudo apt install elasticsearch-oss

L’installation d’Elasticsearch va commencer.

installer elasticsearch

Après l’installation, exécutez la commande ci-dessous pour ajouter la configuration au fichier de configuration d’Elasticsearch /etc/elasticsearch/elasticsearch.yml. La configuration suivante va créer un nouveau cluster Elasticsearch avec le nom “ graylog “ et désactiver la création automatique d’un index sur Elasticsearch.

sudo tee -a /etc/elasticsearch/elasticsearch.yml > /dev/null << EOT  
cluster.name: graylog  
action.auto_create_index: false  
EOT

Avant de démarrer le service Elasticsearch, exécutez la commande ci-dessous pour recharger le gestionnaire systemd.

sudo systemctl daemon-reload

Maintenant, exécutez les commandes suivantes pour activer et redémarrer le service Elasticsearch. Cela ajoutera Elasticsearch au démarrage du système et démarrera le service.

sudo systemctl enable elasticsearch.service  
sudo systemctl restart elasticsearch.service

Enfin, vérifiez le service Elasticsearch en utilisant la commande ci-dessous.

sudo systemctl status elasticsearch.service

Dans la capture d’écran ci-dessous, vous verrez que le service Elasticsearch est en cours d’exécution et activé.

démarrer et vérifier elasticsearch

De plus, vous pouvez également vérifier l’installation d’Elasticsearch en accédant à Elasticsearch en utilisant curl. Elasticsearch fonctionne sur le port par défaut 9200, donc exécutez la commande curl ci-dessous.

curl http://localhost:9200/

Maintenant, vous verrez le message de sortie comme suit. Elasticsearch v7.x avec le cluster nommé graylog est installé sur le serveur Debian.

vérifier elasticsearch

À ce stade, vous êtes maintenant prêt à installer le serveur Graylog sur le serveur Debian.

Installation et configuration du serveur Graylog

Pour commencer l’installation de Graylog, vous devrez télécharger le fichier .deb du dépôt Graylog et l’installer en utilisant la commande suivante.

wget https://packages.graylog2.org/repo/packages/graylog-4.2-repository_latest.deb  
sudo dpkg -i graylog-4.2-repository_latest.deb

Maintenant, mettez à jour et rafraîchissez votre dépôt Debian.

sudo apt update

Ci-dessous, vous pouvez voir que le dépôt Graylog a été ajouté au serveur Debian.

ajouter le dépôt graylog

Ensuite, installez les paquets Graylog sur votre serveur Debian en utilisant la commande apt ci-dessous.

sudo apt install graylog-server graylog-enterprise-plugins graylog-integrations-plugins graylog-enterprise-integrations-plugins

L’installation de Graylog va maintenant commencer.

Après l’installation, exécutez la commande suivante pour générer le password_secret de Graylog qui sera utilisé pour le chiffrement et le salage des mots de passe. Le password_secret de Graylog doit être le même si vous exécutez un cluster Graylog avec plusieurs nœuds. De plus, vous aurez besoin d’une chaîne et d’un nombre aléatoires d’au moins 65 pour le password_secret de Graylog.

pwgen -N 1 -s 96

Maintenant, copiez la chaîne aléatoire générée pour le password_secret de Graylog dans vos notes.

Ensuite, exécutez la commande ci-dessous pour générer le mot de passe chiffré avec sha256. Ce mot de passe sera utilisé comme mot de passe d’administration de Graylog.

echo -n "Entrez le mot de passe : " && head -1

Entrez votre mot de passe pour le mot de passe d’administration de Graylog. Et vous verrez le mot de passe chiffré généré sha256. Copiez le mot de passe chiffré dans vos notes.

Ensuite, éditez la configuration du serveur Graylog /etc/graylog/server/server.conf en utilisant l’éditeur nano.

sudo nano /etc/graylog/server/server.conf

Copiez et collez le password_secret généré et le mot de passe d’administration de Graylog dans root_password_sha2 comme ci-dessous.

password_secret = Eqq4M8EHpKbGfgi6C05t19hJ5WmF3nkVS8yjwclYHtvwsTXRulNHEsaWuy85QUTNIUc6b2ovfRjvR7yD5kwNTPAJCCw39T3d  
root_password_sha2 = 05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223

Enregistrez et fermez le fichier lorsque vous avez terminé.

Maintenant, exécutez la commande ci-dessous pour recharger le gestionnaire systemd avant de démarrer le service du serveur Graylog.

sudo systemctl daemon-reload

Maintenant, activez et démarrez le service du serveur Graylog en utilisant la commande ci-dessous.

sudo systemctl enable graylog-server.service  
sudo systemctl start graylog-server.service

Le serveur Graylog sera opérationnel, vérifiez-le en utilisant la commande suivante.

sudo systemctl status graylog-server.service

Dans la capture d’écran ci-dessous, vous verrez que le service du serveur Graylog est en cours d’exécution et activé.

Vous avez maintenant terminé l’installation de Graylog, qui fonctionne sur le localhost par défaut avec le port 9000.

`Configurer Nginx comme proxy inverse`

Après avoir terminé l’installation et la configuration du serveur Graylog, vous allez maintenant installer et configurer le serveur web Nginx comme proxy inverse pour le serveur Graylog. Cela vous permet d’exécuter Graylog avec votre nom de domaine.

Installez le paquet Nginx sur votre serveur Debian en utilisant la commande suivante.

sudo apt install nginx -y

L’installation va commencer.

Après l’installation, créez un nouvel hôte virtuel Nginx ou des blocs de serveur /etc/nginx/sites-available/graylog.conf en utilisant l’éditeur nano.

sudo nano /etc/nginx/sites-available/graylog.conf

Ajoutez la configuration Nginx suivante. Cela activera Nginx en tant que proxy inverse pour le serveur Graylog qui fonctionne sur http://127.0.0.1:9000/.

server  
{  
    listen 80 default_server;  
    listen [::]:80 default_server ipv6only=on;  
    server_name graylog.example.org;  
  
    location / {  
      proxy_set_header Host $http_host;  
      proxy_set_header X-Forwarded-Host $host;  
      proxy_set_header X-Forwarded-Server $host;  
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;  
      proxy_set_header X-Graylog-Server-URL http://$server_name/;  
      proxy_pass       http://127.0.0.1:9000;  
    }  
}

Enregistrez et fermez le fichier lorsque vous avez terminé.

Ensuite, exécutez la commande suivante pour activer la configuration graylog.conf. Puis vérifiez la configuration nginx.

sudo ln -s /etc/nginx/sites-available/graylog.conf /etc/nginx/sites-enabled/  
sudo nginx -t

Assurez-vous d’obtenir le message de sortie indiquant que le test a réussi.

Enfin, redémarrez le service Nginx pour appliquer une nouvelle configuration d’hôte virtuel en utilisant la commande suivante.

sudo systemctl restart nginx

Maintenant, ouvrez votre navigateur web et visitez le nom de domaine pour l’URL d’installation de Graylog.

http://graylog.howtoforge.local/

Vous verrez la page de connexion Graylog ci-dessous. Entrez l’utilisateur administrateur par défaut avec votre mot de passe (le root_password_sha2) et cliquez sur le bouton Connexion.

Après vous être connecté, vous verrez le tableau de bord Graylog comme ci-dessous.

Vous avez maintenant terminé l’exécution de Graylog sous le proxy inverse Nginx.

`Conclusion`

Félicitations ! vous avez maintenant terminé l’installation et la configuration du serveur Graylog sur le serveur Debian 11. De plus, vous avez terminé la configuration de Nginx en tant que proxy inverse pour le serveur Graylog.