Как установить Graylog на Ubuntu 24.04

Graylog — это бесплатная и открытая платформа для управления журналами, предназначенная для захвата, хранения и обеспечения анализа ваших данных и журналов в реальном времени. Она написана на Java и построена на других открытых программных обеспечениях, таких как MongoDB и Elasticsearch.

Graylog предоставляет одну из самых эффективных, быстрых и гибких платформ для централизованного управления журналами. С помощью Graylog вы можете отправлять и анализировать как структурированные, так и неструктурированные данные из почти любого источника данных.

В этом руководстве вы узнаете, как установить сервер Graylog на Ubuntu 24.04. Вы будете устанавливать Graylog с MongoDB и Elasticsearch.

Предварительные требования

Чтобы завершить это руководство, убедитесь, что у вас есть следующее:

• Сервер Ubuntu 24.04 с как минимум 4 или 8 ГБ памяти
• Непривилегированный пользователь с правами администратора

Установка MongoDB

Чтобы установить Graylog, сначала необходимо установить MongoDB. В настоящее время Graylog поддерживает только MongoDB версии 5.x-7.x, и в этом разделе вы будете устанавливать MongoDB 7.x на ваш сервер Ubuntu.

Сначала выполните команду ниже, чтобы установить некоторые зависимости.

sudo apt install apt-transport-https gnupg2 uuid-runtime pwgen curl dirmngr -y

Теперь добавьте GPG-ключ и репозиторий MongoDB с помощью следующей команды. В этом примере вы будете использовать MongoDB 7.0 для предыдущей версии Ubuntu.

curl -fsSL  | 
sudo gpg -o /usr/share/keyrings/mongodb-server-7.0.gpg 
--dearmor

echo "deb [ arch=amd64,arm64 signed-by=/usr/share/keyrings/mongodb-server-7.0.gpg ] https://repo.mongodb.org/apt/ubuntu jammy/mongodb-org/7.0 multiverse" | 
sudo tee /etc/apt/sources.list.d/mongodb-org-7.0.list

После добавления репозитория выполните команду ‘apt’ ниже, чтобы обновить индекс пакетов Ubuntu и установить MongoDB на вашу систему.

sudo apt update && sudo apt install mongodb-org

Введите ‘ Y ‘, чтобы подтвердить установку.

После завершения установки запустите и активируйте службу ‘ mongod ‘ с помощью команды ниже.

sudo systemctl enable --now mongod

Наконец, проверьте службу ‘ mongod ‘, чтобы убедиться, что служба работает. Вы должны увидеть, что MongoDB работает на вашей системе.

sudo systemctl status mongod

Установка Elasticsearch

После установки MongoDB вам необходимо установить Elasticsearch. И перед этим вы должны сначала установить Java OpenJDK, а затем установить Elasticsearch. На данный момент сервер Graylog поддерживает только Elasticsearch версии 7.x.

Чтобы установить Java OpenJDK, выполните команду ‘ apt ‘ ниже. Введите ‘ Y ‘, чтобы продолжить установку.

sudo apt install openjdk-11-jre-headless

Теперь проверьте версию Java с помощью следующей команды. Вы должны увидеть, что Java OpenJDK 11 была установлена.

java --version

После установки Java вы готовы установить Elasticsearch.

Выполните команду ниже, чтобы добавить GPG-ключ и репозиторий для Elasticsearch. В этом примере вы будете устанавливать Elasticsearch 7.x.

wget -qO -  | apt-key add -  
echo "deb https://artifacts.elastic.co/packages/oss-7.x/apt stable main" | 
sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list

Теперь выполните команду ниже, чтобы обновить ваш репозиторий Ubuntu и установить пакет ‘elasticsearch’. Введите ‘ Y ‘, чтобы подтвердить.

sudo apt update && sudo apt install elasticsearch

После установки откройте файл конфигурации Elasticsearch ‘ /etc/elasticsearch/elasticsearch.yml ‘ с помощью редактора ‘ nano ‘.

sudo nano /etc/elasticsearch/elasticsearch.yml

Измените значение по умолчанию ‘ cluster.name ‘ и установите ‘ action.auto_create_index ‘ в ‘ false ‘, как показано ниже:

cluster.name: graylog  
action.auto_create_index: false

Сохраните файл и выйдите из редактора.

Теперь выполните команду ‘ systemctl ‘ ниже, чтобы перезагрузить менеджер systemd, запустить и активировать службу Elasticsearch.

sudo systemctl daemon-reload  
sudo systemctl enable --now elasticsearch

С Elasticsearch, работающим, вы можете проверить его с помощью команды ниже.

sudo systemctl status elasticsearch

Следующий вывод подтверждает, что Elasticsearch работает.

Вы также можете проверить Elasticsearch с помощью команды ‘ curl ‘ ниже.

curl -X GET http://localhost:9200

Если Elasticsearch работает, вы увидите его номер версии и имя кластера, как показано ниже.

Установка Graylog

Теперь, когда вы установили MongoDB и Elasticsearch, вы готовы установить Graylog на своем сервере. В этом разделе вы установите Graylog и настроите аутентификацию по паролю для вашей установки.

Скачайте пакет репозитория Graylog с помощью команды ‘ wget ‘ и установите его с помощью команды ‘ dpkg ‘, как показано ниже:

wget https://packages.graylog2.org/repo/packages/graylog-6.1-repository_latest.deb  
sudo dpkg -i graylog-6.1-repository_latest.deb

Теперь выполните команду ‘ apt ‘ ниже, чтобы обновить индекс пакетов Ubuntu и установить пакет ‘ graylog-server ‘. Введите ‘ Y ‘, чтобы подтвердить установку.

sudo apt update && sudo apt install graylog-server

После установки вам нужно сгенерировать два пароля, ‘ password_secret ‘ и ‘ root_password_sha2 ‘, для Graylog.

Чтобы сгенерировать ‘ password_secret ‘, выполните команду ниже. Убедитесь, что вы скопировали сгенерированный пароль.

< /dev/urandom tr -dc A-Z-a-z-0-9 | head -c${1:-96};echo;

Для пароля ‘ root_password_sha2 ‘ выполните следующую команду. Введите свой пароль, когда будет предложено, и скопируйте сгенерированный sha пароль.

echo -n "Введите пароль: " && head -1 

Теперь, когда вы сгенерировали пароли Graylog, вам нужно изменить файл конфигурации Graylog.

Откройте файл ‘ /etc/graylog/server/server.conf ‘ с помощью редактора ‘ nano ‘.

sudo nano /etc/graylog/server/server.conf

Вставьте сгенерированные пароли для ‘ password_secret ‘ и ‘ root_password_sha2 ‘. Затем измените значение по умолчанию ‘ http_bind_address ‘ на ваш локальный IP-адрес.

password_secret = PoMVlAiuJLA89rNAtLWz0PF7TLwX3JEQD7zp1kfOGAwdr0P-oQ0HKoebpevpPK2Q2quvjmqHQreP1yQYTX0jDjIe3JcBU5J  
root_password_sha2 = a7fdfe53e2a13cb602def10146388c65051c67e60ee55c051668a1c709449111  
http_bind_address = 192.168.10.60:9000

Сохраните файл и выйдите из редактора.

Затем выполните следующую команду ‘ systemctl ‘, чтобы перезагрузить менеджер systemd, запустить и активировать службу ‘ graylog-server ‘.

sudo systemctl daemon-reload  
sudo systemctl enable --now graylog-server

Наконец, проверьте статус ‘ graylog-server ‘ с помощью команды. Если ваша установка успешна, вы увидите, что Graylog работает на вашем сервере Ubuntu.

sudo systemctl status graylog-server

Настройка Graylog

На данный момент Graylog работает на вашем сервере Ubuntu. Теперь вы настроите Graylog через веб-браузер.

Перед доступом к Graylog проверьте файл журнала ‘ /var/log/graylog-server/server.log ‘ с помощью команды ниже. Скопируйте ссылку для настройки вашей установки Graylog и вставьте ее в браузер.

cat /var/log/graylog-server/server.log

Теперь вы увидите страницу начальной настройки Graylog. Здесь вы настроите SSL-сертификаты для узла данных Graylog, как показано ниже:

• Введите название вашей организации
Введите дни истечения сертификата
Пропустите данные о сертификате узла данных

После завершения нажмите ‘ Продолжить запуск ‘, чтобы продолжить.

Теперь вы будете перенаправлены на страницу входа Graylog. Введите имя пользователя по умолчанию ‘ admin ‘ с паролем из опции ‘ root_password_sha2 ‘.

Если у вас правильное имя пользователя и пароль, вы получите панель управления Graylog, как показано ниже:

Заключение

Поздравляем! Вы завершили установку Graylog на сервере Ubuntu 24.04. У вас есть работающий Graylog с MongoDB 7.x и Elasticsearch 7.x. Теперь вы можете создавать новые входы Graylog, чтобы отправлять журналы на ваш сервер Graylog.