Almalinux

Cara Menginstal Alat Manajemen Log Graylog di Sistem RHEL

Cara Menginstal Alat Manajemen Log Graylog di Sistem RHEL

Graylog adalah solusi manajemen log opensource terkemuka di industri untuk mengumpulkan, menyimpan, mengindeks, dan menganalisis data waktu nyata dari aplikasi dan berbagai perangkat dalam infrastruktur TI seperti server, router, dan firewalls.

Graylog membantu Anda mendapatkan lebih banyak wawasan tentang data yang dikumpulkan dengan menggabungkan beberapa pencarian untuk analisis dan pelaporan terperinci. Ini juga mendeteksi ancaman dan kemungkinan aktivitas jahat dengan melakukan analisis yang mendalam terhadap log dari sumber jarak jauh.

Alat manajemen log Graylog

Graylog terdiri dari yang berikut:

  • Server Graylog - Ini adalah server utama dan digunakan untuk memproses log.
  • Antarmuka Web Graylog - Ini adalah aplikasi browser yang memberikan pandangan pada data dan log yang dikumpulkan dari beberapa titik akhir.
  • MongoDB - Server database NoSQL untuk menyimpan data konfigurasi.
  • Elasticsearch - Ini adalah mesin pencarian dan analitik sumber terbuka dan terbuka yang mem -parsing dan mengindeks data mentah dari berbagai sumber.

Arsitektur Graylog menerima segala jenis data terstruktur termasuk lalu lintas jaringan dan log dari yang berikut:

  • Syslog (TCP, UDP, AMQP, Kafka).
  • AWS - AWS Logs, CloudTrail, & Flowlogs.
  • Netflow (UDP).
  • Gelf (TCP, UDP, AMQP, Kafka).
  • Elk - Beats, and Logstash.
  • JSON Path dari HTTP API.

Beberapa perusahaan teknologi raksasa yang menerapkan Graylog Di tumpukan teknologi mereka termasuk Fiverr, Circleci, Craftbase, Dan Bitpanda.

Dalam panduan ini, kami akan menunjukkan kepada Anda cara menginstal Graylog Alat Manajemen Log di RHEL 8 dan distro berbasis rhel seperti Almalinux, Aliran centos, Dan Linux Rocky.

Langkah 1: Instal Epel Repo dan Paket Prasyarat

Untuk memulai, Anda memerlukan beberapa paket penting yang akan membantu saat Anda bergerak bersama dengan panduan ini. Pertama, instal Epel Repositori yang menyediakan satu set paket perangkat lunak yang kaya RHEL & RHEL distribusi.

$ sudo dnf instal https: // dl.Fedoraproject.org/pub/epel/epel-release-latest-8.Noarch.RPM

Selanjutnya, instal paket berikut yang akan diperlukan di sepanjang jalan.

$ sudo dnf instal -y pwgen wget curl perl-digest-sha

Langkah 2: Instal Java (OpenJDK) di RHEL

Salah satu prasyarat pemasangan Graylog adalah Java 8 dan versi yang lebih baru. Di sini, kami akan menginstal rilis LTS terbaru Jawa yang Java 11 yang akan disediakan oleh OpenJDK 11.

Oleh karena itu, jalankan perintah berikut untuk menginstal OpenJDK.

$ sudo dnf menginstal java-11-openjdk java-11-openjdk-devel -y

Ini menginstal Jawa dependensi dan sejumlah dependensi lainnya.

Setelah instalasi selesai, verifikasi versi yang diinstal.

$ java -version
Periksa java di rhel

Langkah 3: Instal Elasticsearch di RHEL

Elasticsearch adalah mesin pencarian dan analitik sumber terbuka dan open-source yang menangani berbagai data termasuk data terstruktur, tidak terstruktur, numerik, geospasial, dan tekstual.

Ini adalah komponen kunci dari tumpukan elastis, juga dikenal sebagai RUSA BESAR (Elasticsearch, Logstash, dan Kibana), dan banyak digunakan untuk API, skalabilitas, dan kecepatan Sederhana.

Graylog memerlukan Elasticsearch 6.x atau 7.X. Kami akan menginstal Elasticsearch 7.X yang merupakan rilis terbaru pada saat menerbitkan panduan ini.

Buat Elasticsearch file repositori.

$ sudo vim /etc /yum.repo.D/Elasticsearch.repo

Selanjutnya, tempel baris kode berikut ke file.

[Elasticsearch-7.x] name = Repositori Elasticsearch untuk 7.X Paket BaseUrl = https: // artefak.elastis.Co/Packages/OSS-7.x/yum gpgcheck = 1 gpgkey = https: // artefak.elastis.co/gpg-key-elasticsearch diaktifkan = 1 autorefresh = 1 type = rpm-md

Simpan perubahan dan keluar.

Selanjutnya, instal Elasticsearch menggunakan manajer paket DNF seperti yang ditunjukkan.

$ sudo dnf menginstal elasticsearch-oss
Instal Elasticsearch di RHEL

Untuk Elasticsearch bekerja dengan Graylog, Beberapa perubahan diperlukan. Jadi buka Elasticsearch.YML mengajukan.

$ sudo vim/etc/elasticsearch/elasticsearch.YML

Perbarui nama cluster ke Graylog seperti yang ditunjukkan.

gugus.Nama: Graylog

Simpan perubahan dan keluar.

Kemudian muat ulang konfigurasi Systemd Manager.

$ sudo systemctl daemon-reload

Selanjutnya, aktifkan dan mulai Elasticsearch layanan dengan menjalankan perintah berikut.

$ sudo systemctl mengaktifkan elasticsearch.Layanan $ Sudo Systemctl Start Elasticsearch.melayani
Aktifkan Elasticsearch di RHEL

Elasticsearch mendengarkan port 9200 secara default untuk memproses Http permintaan. Anda dapat mengonfirmasi ini dengan mengirim KERITING permintaan seperti yang ditunjukkan.

$ curl -x dapatkan http: // localhost: 9200
Periksa Elasticsearch di RHEL

Langkah 4: Instal MongoDB di RHEL

Graylog menggunakan a Mongodb server database untuk menyimpan data konfigurasi.

Kami akan menginstal MongoDB 4.4, Tapi pertama -tama, buat file konfigurasi untuk Mongodb.

$ sudo vim /etc /yum.repo.d/mongodb-org-4.repo

Kemudian tempel konfigurasi berikut.

[MongoDB-org-4] Name = MongoDB Repository BaseUrl = https: // repo.Mongodb.org/yum/redhat/8/mongodb-org/4.4/x86_64/gpgcheck = 1 diaktifkan = 1 gpgkey = https: // www.Mongodb.org/static/pgp/server-4.4.ASC

Simpan perubahan dan keluar.

Selanjutnya, instal Mongodb sebagai berikut.

$ sudo dnf menginstal mongodb-org

Setelah diinstal, mulailah dan aktifkan MongoDB untuk memulai startup sistem.

$ sudo systemctl mulai mongod $ sudo systemctl memungkinkan mongod

Untuk memeriksa versi MongoDB, jalankan perintah:

$ mongo --version
Periksa mongodb di rhel

Langkah 5: Instal Server Graylog di RHEL

Dengan semua komponen prasyarat terpasang, sekarang instal Graylog dengan menjalankan perintah berikut.

$ sudo rpm -uvh https: // paket.Graylog2.org/repo/paket/Graylog-4.2-Repository_latest.RPM $ SUDO DNF Instal Graylog-Server

Anda dapat memverifikasi pemasangan Graylog seperti yang ditunjukkan:

$ rpm -qi Graylog -Server
Periksa Graylog di Rhel

Sekarang, mulai dan aktifkan Graylog server untuk memulai waktu boot.

$ sudo systemctl mulai Graylog-Server.Layanan $ Sudo Systemctl Aktifkan Graylog-Server.melayani

Langkah 6: Mengkonfigurasi server Graylog di RHEL

Untuk Graylog Untuk berfungsi seperti yang diharapkan, beberapa langkah tambahan diperlukan. Anda perlu menentukan parameter berikut dalam file konfigurasi:

root_password_sha2 kata sandi_secret root_username http_bind_address

Kami akan mendefinisikan variabel -variabel ini di /etc/graylog/server/server.conf file yang merupakan file konfigurasi default.

Itu root_password_sha2 adalah kata sandi hash untuk pengguna root. Untuk menghasilkannya menjalankan perintah berikut. Itu [Email dilindungi] hanyalah seorang placeholder. Jangan ragu untuk menentukan kata sandi Anda sendiri.

$ echo -n [email dilindungi] | Shasum -a 256

Keluaran

68E865AF8DDBEFFC494508BB6181167FCCF0BB7C0CAB421C54EF3067BDD8D85D

Perhatikan kata sandi ini dan simpan di suatu tempat.

Selanjutnya, hasilkan Password_secret sebagai berikut:

$ pwgen -n 1 -s 96

Keluaran

T1etssecy0qe4jig3t6e96a5qlu5whs9p5slivex9kybwjc3wkhn4246oQgype4btlxaaioCm7lyusd9bgaonqxktstjuqbf

Sekali lagi, perhatikan kata sandi hash ini.

Selanjutnya, buka file konfigurasi Graylog.

$ sudo vim/etc/graylog/server/server.conf

Tempel nilai yang Anda hasilkan root_password_sha2 Dan Password_secret seperti yang ditunjukkan.

root_username = admin root_password_sha2 = 68e865af8ddbeffc494508bb6181167fccf0bb7c0cab421c54ef3067bdd8d85d password_secret = T1EtSsecY0QE4jIG3t6e96A5qLU5WhS9p5SliveX9kybWjC3WKhN4246oqGYPe4BTLXaaiOcM7LyuSd9bGAonQxkTsTjuqBf

Selain itu, buat Graylog dapat diakses oleh pengguna eksternal dengan mengatur http_bind_address parameter sebagai berikut.

http_bind_address = 0.0.0.0: 9000

Juga, konfigurasikan zona waktu untuk Graylog server.

root_timezone = utc

Simpan dan Keluar dari file konfigurasi.

Untuk menerapkan perubahan, restart Graylog server.

$ sudo systemct restart Graylog-Server.melayani

Anda dapat mengonfirmasi dari file log dan memeriksa apakah Graylog berjalan seperti yang diharapkan.

$ tail -f/var/log/graylog -server/server.catatan

Output berikut di baris terakhir menunjukkan bahwa semuanya baik -baik saja.

Periksa status Graylog di RHEL

Graylog Mendengarkan Port 9000 yang menyediakan akses ke antarmuka web. Jadi, buka port ini di firewall.

$ sudo firewall-cmd --add-port = 9000/tcp --permanent $ sudo firewall-cmd-reload

Langkah 7: Akses Graylog Web UI

Untuk mengakses Graylog, Jelajahi URL berikut.

http: // server-IP: 9000 atau http: // domain-name: 9000

Masuk dengan admin nama pengguna Anda dan kata sandi yang dikonfigurasi root_password_sha2 dalam server.conf mengajukan.

Login Pengguna Graylog

Setelah masuk, Anda akan melihat dasbor berikut.

Dashboard Graylog

Dari sini, Anda dapat melanjutkan dengan menganalisis data dan log yang dikumpulkan dari berbagai sumber data.

Graylog terus menjadi solusi manajemen log terpusat yang populer untuk pengembang dan tim operasi. Analisis data yang dikumpulkan memberikan wawasan mendalam tentang keadaan kerja berbagai aplikasi dan perangkat dan membantu menemukan kesalahan dan mengoptimalkan operasi TI.

Itu saja untuk panduan ini. Dalam tutorial ini, kami telah menunjukkan cara menginstal Server Graylog pada distribusi Linux berbasis RHEL.