Come installare Graylog su AlmaLinux 9

Graylog è una piattaforma di gestione dei log gratuita e open-source per catturare, memorizzare e abilitare l’analisi in tempo reale dei tuoi dati e log. È scritta in Java e costruita su altri software open-source come MongoDB ed Elasticsearch. Graylog fornisce una delle piattaforme di gestione dei log centralizzata più efficienti, veloci e flessibili. Con Graylog, puoi inviare e analizzare sia dati strutturati che non strutturati da quasi qualsiasi fonte di dati.

In questa guida, esamineremo l’installazione di Graylog come Sistema di Gestione dei Log Centralizzato su un server AlmaLinux 9. Installerai il server Graylog, quindi configurerai gli input per i client per inviare log al server Graylog.

Prerequisiti

Per completare questa guida, assicurati di avere i seguenti requisiti:

• Un server AlmaLinux 9 con almeno 4 GB di memoria - In questo caso, utilizzeremo un server AlmaLinux con 8 GB di memoria e indirizzo IP 192.168.10.20.
• Un utente non root con privilegi di amministratore.

Configurazione dei Repository

Per iniziare questa guida, aggiungerai nuovi repository alla tua macchina AlmaLinux 9. Aggiungerai il repository di MongoDB 6.x, Opensearch 2.x e Graylog 5.x al tuo sistema.

Prima, esegui il comando dnf qui sotto per installare curl sul tuo sistema.

sudo dnf install curl -y

Ora copia ed esegui il seguente comando per aggiungere il repository di MongoDB. Il server Graylog richiede almeno MongoDB v6.x.

cat <

Successivamente, esegui il seguente comando per aggiungere il repository di Opensearch. Opensearch è un’alternativa a Elasticsearch, che è consigliato utilizzare nella nuova versione di Graylog. In questo caso, utilizzeremo Opensearch v2.x.

sudo curl -SL https://artifacts.opensearch.org/releases/bundle/opensearch/2.x/opensearch-2.x.repo -o /etc/yum.repos.d/opensearch-2.x.repo

Ora esegui il comando qui sotto per aggiungere il repository di Graylog al tuo sistema. Al momento della scrittura, l’ultima versione del server Graylog è v5.1.

sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-5.1-repository_latest.rpm

Infine, esegui il comando dnf qui sotto per verificare i repository disponibili sul tuo server AlmaLinux.

sudo dnf repolist

Se tutto è andato a buon fine, dovresti vedere il repository di MongoDB 6.x, Opensearch 2.x e il server Graylog.

Installazione delle Dipendenze

Dopo aver aggiunto i repository, installerai quindi MongoDB 6.x e Opensearch 2.x tramite il gestore pacchetti DNF. MongoDB sarà utilizzato per i dati stringa, e Opensearch sarà il motore di ricerca principale per il server Graylog.

Esegui il comando dnf qui sotto per installare MongoDB e Opensearch. Inserisci y quando richiesto per confermare, quindi premi INVIO.

sudo dnf install mongodb-org opensearch

Una volta installati MongoDB e Opensearch, esegui il comando systemctl qui sotto per ricaricare il gestore systemd.

sudo systemctl daemon-reload

Quindi, avvia e abilita il servizio MongoDB utilizzando il comando qui sotto.

sudo systemctl start mongod  
sudo systemctl enable mongod

Avvia e abilita il servizio Opensearch utilizzando il comando qui sotto.

sudo systemctl start opensearch  
sudo systemctl enable opensearch

Infine, esegui il comando qui sotto per verificare lo stato del servizio sia di MongoDB che di Opensearch. Se in esecuzione, lo stato del servizio dovrebbe essere attivo (in esecuzione).

sudo systemctl status mongod  
sudo systemctl status opensearch

Controllo dello stato del servizio MongoDB.

Controllo dello stato del servizio Opensearch.

Configurazione di Opensearch

Per il deployment di Graylog, è consigliato utilizzare Opensearch come motore di ricerca predefinito. Un’alternativa a Opensearch è Elasticsearch, ma supporta solo la versione Elasticsearch v7.x. Nella sezione seguente, configurerai Opensearch come motore di ricerca predefinito per il tuo server Graylog.

Prima, apri il file di configurazione predefinito di Opensearch /etc/opensearch/opensearch.yml utilizzando il seguente comando dell’editor nano.

sudo nano /etc/opensearch/opensearch.yml

Decommenta il parametro cluster.name e inserisci il nome del tuo cluster Opensearch, node.name e inserisci il nome host del tuo sistema, quindi network.host e inserisci il tuo indirizzo IP interno. In questo caso, il nome del cluster sarà graylog con il nome host graylog-alma e indirizzo IP 192.168.10.20 (questo in esecuzione su una rete locale).

cluster.name: graylog  
node.name: graylog-alma  
network.host: 0.0.0.0

Aggiungi le seguenti righe per configurare Opensearch come un singolo nodo/server, disabilitare auto_create_index e il plugin di sicurezza (solo per scopi di test).

discovery.type: single-node  
action.auto_create_index: false  
plugins.security.disabled: true

Salva il file ed esci dall’editor quando hai finito.

Ora, apri il file /etc/opensearch/jvm.options utilizzando l’editor nano per impostare l’allocazione massima di memoria per il servizio Opensearch.

sudo nano /etc/opensearch/jvm.options

Cambia l’allocazione di memoria predefinita per la tua installazione di Opensearch. In questo caso, Opensearch dovrebbe essere eseguito con una memoria massima di 2 GB.

-Xms2g  
-Xmx2g

Salva il file ed esci dall’editor dopo aver finito.

Successivamente, apri il file /usr/lib/tmpfiles.d/opensearch.conf utilizzando il seguente comando dell’editor nano.

sudo nano /usr/lib/tmpfiles.d/opensearch.conf

Cambia il percorso predefinito da /var/run/opensearch a /run/opensearch. Questa directory sarà utilizzata per memorizzare file aggiuntivi relativi a Opensearch e sarà creata automaticamente tramite questa configurazione.

/run/opensearch

Salva e chiudi il file quando hai finito.

Dopo di che, esegui il seguente comando per aumentare il vm.max_map_count a 262144. Questo è richiesto da Opensearch, e per renderlo permanente, aggiungerai un nuovo parametro al file /etc/sysctl.conf.

sudo sysctl -w vm.max_map_count=262144  
sudo echo 'vm.max_map_count=262144' >> /etc/sysctl.conf

Ora esegui il comando systemctl qui sotto per riavviare il servizio Opensearch e applicare le modifiche che hai effettuato.

sudo systemctl restart opensearch

Opensearch dovrebbe essere in esecuzione sull’indirizzo IP locale del tuo server, e in questo caso, è in esecuzione su 192.168.10.20 con la porta predefinita 9200.

Esegui il comando curl qui sotto per accedere alla tua installazione di Opensearch.

curl 192.168.10.20:9200

Se la configurazione di Opensearch è andata a buon fine, dovresti vedere le informazioni dettagliate sulla tua installazione di Opensearch come questa:

A questo punto, Opensearch e MongoDB sono pronti. Nella sezione successiva, inizierai l’installazione e la configurazione del server Graylog.

Installazione e Configurazione del Server Graylog

In questa sezione, installerai il server Graylog v5.x sulla tua macchina AlmaLinux 9 e configurerai Graylog come gestione centralizzata dei log per la tua infrastruttura.

Esegui il comando dnf qui sotto per installare il pacchetto graylog-server. Inserisci y per confermare l’installazione e premi INVIO per procedere.

sudo dnf install graylog-server

Inserisci di nuovo y per aggiungere la chiave GPG del repository Graylog.

Una volta installato il server Graylog, esegui il seguente comando per generare il password_secret per il server Graylog. Copia la stringa casuale che hai generato.

< /dev/urandom tr -dc A-Z-a-z-0-9 | head -c${1:-96};echo;

Ora esegui il seguente comando per generare il root_password_sha2 per il tuo server graylog. Questa password sarà utilizzata per accedere alla dashboard di amministrazione di Graylog.

echo -n "Enter Password: " && head -1 

Inserisci la tua password e copia la password hash generata.

Nell’esempio qui sotto, JmGGtkruJ80LjnQBnz8QZ0gHjKpBZwWmH7JF0ZBa9iBS999bTlQfViaQj7jAH-XgIVcdVcDVYyy3x5Dh7fEXCPhbrSUXX1G1 è il password secret e 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8 è la root_password_sha2 generata per il tuo server Graylog.

Successivamente, apri la configurazione di Graylog /etc/graylog/server/server.conf utilizzando l’editor nano.

sudo nano /etc/graylog/server/server.conf

Inserisci il password secret generato nel parametro password_secret e cambia la root_password_sha2 predefinita con la nuova password che hai generato.

password_secret = R8zwuO2NDewUcwRFQ0QDm07tn6AppmwThty0aagxOoqMDWNqPJLwrffpz7DdQyQVY1uHq54QwgYMNkZnBLuXQf3B1giq5RKX  
...  
root_password_sha2 = a7fdfe53e2a13cb602def10146388c65051c67e60ee55c051668a1c709449111

Decommenta il parametro http_bind_address e cambia l’indirizzo IP con il tuo indirizzo IP interno seguito dalla porta predefinita del server Graylog 9000.

http_bind_address = 192.168.10.20:9000

Salva il file e chiudi l’editor.

Ora esegui il comando systemctl qui sotto per ricaricare il gestore systemd.

sudo systemctl daemon-reload

Quindi avvia e abilita il server Graylog utilizzando il comando qui sotto.

sudo systemctl start graylog-server  
sudo systemctl enable graylog-server

Infine, verifica lo stato del server Graylog utilizzando il seguente comando. Se Graylog è in esecuzione, dovresti ottenere un output attivo (in esecuzione) nel tuo terminale.

sudo systemctl status graylog-server

Inoltre, puoi anche verificare il server Graylog controllando l’elenco delle porte aperte sul tuo sistema utilizzando il comando ss qui sotto.

ss -tulpn | grep 9000

Se tutto è andato a buon fine, dovresti vedere che il server Graylog sta utilizzando quella porta 9000.

Configurazione di Firewalld e SELinux

Dopo aver installato e configurato il server Graylog, il passo successivo sarà configurare SELinux e firewalld. In questo caso, SELinux è in esecuzione in modalità enforcing e firewalld è attivo.

Esegui il comando dnf qui sotto per installare gli strumenti di gestione di SELinux sul tuo server AlmaLinux. Inserisci y quando richiesto, quindi premi INVIO per procedere.

sudo dnf install policycoreutils policycoreutils-python-utils

Ora, esegui il seguente comando per aggiungere alcune politiche SELinux e consentire le porte per alcuni servizi come la porta del server Graylog 9000, la porta di MongoDB 27017 e la porta di Opensearch 9200.

sudo setsebool -P httpd_can_network_connect 1  
sudo semanage port -a -t http_port_t -p tcp 9000  
sudo semanage port -a -t http_port_t -p tcp 9200  
sudo semanage port -a -t mongod_port_t -p tcp 27017

Successivamente, esegui il comando firewall-cmd qui sotto per aggiungere la porta del server Graylog 9000 al firewalld e ricarica il firewalld per applicare le modifiche.

sudo firewall-cmd --add-port=9000/tcp --permanent  
sudo firewall-cmd --reload

Infine, esegui il seguente comando per verificare l’elenco delle regole del firewalld del tuo sistema. Assicurati che la porta 9000 sia disponibile sul tuo firewalld.

sudo firewall-cmd --list-all

Accesso al Server Graylog

Con SELinux e firewalld configurati con successo, ora puoi accedere alla tua installazione del server Graylog.

Avvia il tuo browser web preferito e visita l’indirizzo IP del tuo server AlmaLinux seguito dalla porta 9000 (ad esempio: http://192.168.10.20:9000/). Se l’installazione di graylog è andata a buon fine, dovresti vedere la pagina di accesso di Graylog come segue.

Accedi con l’utente predefinito admin e la password che hai generato (la password root_password_sha2).

Se hai l’utente e la password corretti, la dashboard di amministrazione di Graylog verrà mostrata nel tuo browser.

Crea il Primo Input di Graylog

Dopo aver effettuato l’accesso al server Graylog, la prima cosa che devi fare è creare nuovi input che saranno utilizzati come ricevitore di log dal sistema di monitoraggio target. Ci sono due tipi di input di Graylog, Input Listener e Input Pull.

Esempi di input Listener sono Syslog TCP/UDP, Beats TCP, GELF TCP, CEF TCP e Netflow TCP. Alcuni esempi di input Pull sono CEF AMQP e Kafka, Raw/Plaintext AMQP e Kafka, e Syslog AMQP e Kafka.

Nella sezione seguente, creerai il primo input di Graylog utilizzando Syslog UDP.

Clicca sul menu System e seleziona Inputs.

Seleziona il tipo di input che desideri creare dal menu a discesa e fai clic su Launch new input. In questo caso, creeremo un input di tipo Syslog UDP.

Digita il nome dell’input, l’indirizzo IP interno e la porta su cui il nuovo input sarà in esecuzione. In questo caso, creeremo un input Syslog UDP graylog-alma che sarà in esecuzione su un indirizzo IP interno 0.0.0.0 con la porta 5142.

Successivamente, scorri verso il basso fino in fondo alla pagina e dovresti vedere il nuovo input graylog-alma con stato in esecuzione.

Infine, torna al terminale del server ed esegui il comando firewall-cmd qui sotto per aprire la porta 5142 che sarà utilizzata dall’input graylog-alma.

sudo firewall-cmd --add-port=5142/udp --permanent  
sudo firewall-cmd --reload

Verifica l’elenco delle porte aperte sul firewalld utilizzando il seguente comando. Assicurati che la porta 5142 sia disponibile sul firewalld.

sudo firewall-cmd --list-all

Inviare Log a Graylog tramite Rsyslog

Dopo aver creato l’input Syslog UDP sul server Graylog, ora puoi inviare messaggi di log al server Graylog. Nella sezione seguente, invierai log da una macchina Linux al server Graylog utilizzando Rsyslog.

Crea una nuova configurazione rsyslog aggiuntiva /etc/rsyslog.d/graylog.conf utilizzando il seguente comando dell’editor nano.

sudo nano /etc/rsyslog.d/graylog.conf

Inserisci la seguente configurazione e assicurati di cambiare l’indirizzo IP e la porta con i dettagli dell’input graylog-alma.

*.*@192.168.10.20:5142;RSYSLOG_SyslogProtocol23Format

Salva ed esci dal file quando hai finito.

Ora esegui il comando systemctl qui sotto per riavviare il servizio Rsyslog e applicare le modifiche. Dopo che Rsyslog è stato riavviato, la macchina target inizierà a inviare log al server Graylog tramite il protocollo syslog all’input graylog-alma.

sudo systemctl restart rsyslog

Successivamente, torna alla dashboard di amministrazione di Graylog e fai clic sul menu Stream. Se la tua installazione è andata a buon fine, dovresti vedere i dettagli dei log della macchina target disponibili sul server Graylog.

Conclusione

Congratulazioni, hai completato l’installazione di Graylog come sistema di gestione centralizzata dei log sul tuo sistema AlmaLinux 9! Hai installato Graylog con MongoDB e Opensearch e hai anche configurato il primo input di Graylog tramite Syslog UDP. Ora puoi esplorare diversi tipi di input di Graylog o sfruttare il deployment di Graylog con più server.