Задаетесь вопросом, как установить Graylog на Ubuntu 22.04 или Ubuntu 20.04? Придерживайтесь этого руководства, и ваш Graylog будет готов к работе с логами и их анализу.
Перед тем, как приступить к установке Graylog, необходимо понять, что такое Graylog.
Что такое Graylog?
Это инструмент управления и анализа журналов с открытым исходным кодом, который позволяет централизованно собирать, хранить и анализировать журнальные данные из различных источников.
Он способен анализировать как структурированные, так и неструктурированные журналы в читаемом формате. Кроме того, он поддерживает множество источников данных, включая журналы приложений, системные и сетевые журналы.
Подготовка перед установкой Graylog
Для установки последней версии Graylog 5.1 на Ubuntu вам потребуется MongoDB (версия 6.x или более поздняя), OpenSearch (версия 2.x или более поздняя) и OpenJDK (версия 17 или более поздняя).
Поэтому перед установкой необходимо установить и настроить MongoDB и OpenSearch.
MongoDB служит базой данных для хранения сообщений журнала и метаданных, а OpenSearch – это бесплатная и мощная поисковая система, позволяющая осуществлять поиск, фильтрацию и анализ данных журнала.
Давайте подготовим нашу систему к установке Graylog, установив и настроив все необходимые зависимости.
Установка MongoDB
Во-первых, давайте обновим кэш локальных репозиториев и обновим установленные пакеты, выполнив команду apt:
sudo apt update && sudo apt upgrade -y
Затем выполните команду, чтобы убедиться, что у нас есть все пакеты, которые потребуются в процессе установки Graylog:
sudo apt install -y apt-transport-https uuid-runtime pwgen curl dirmngr gnupg
Следующий шаг – установка MongoDB на Ubuntu. Для этого импортируйте GPG-ключ MongoDB.
wget -qO - https://www.mongodb.org/static/pgp/server-6.0.asc | sudo apt-key add -
После добавления ключа GPG настало время добавить конфигурацию репозитория MongoDB 6.0 в каталог sources list системы:
echo "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/ubuntu jammy/mongodb-org/6.0 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-6.0.list
Поскольку мы внесли изменения в репозиторий, рекомендуется обновить его. Для этого выполните команду apt update:
sudo apt update
И наконец, выполним команду для установки MongoDB:
sudo apt-get install mongodb-org -y
Когда MongoDB установлена, перезагрузим конфигурацию демона systemd. Затем включим автоматический запуск служб MongoDB после перезагрузки.
sudo systemctl daemon-reload sudo systemctl enable mongod.service
Для перезапуска служб MongoDB и проверки состояния активно работающих служб MongoDB:
sudo systemctl restart mongod.service sudo systemctl --type=service --state=active | grep mongod
Установка OpenSearch
Для установки OpenSearch сначала добавим его GPG-ключ в систему, выполнив следующую команду curl:
curl -o- https://artifacts.opensearch.org/publickeys/opensearch.pgp | sudo apt-key add -
После этого добавим конфигурацию репозитория OpenSearch 2.0 в систему с помощью данной команды:
echo "deb https://artifacts.opensearch.org/releases/bundle/opensearch/2.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/opensearch-2.x.list
Следующий шаг – обновление репозитория пакетов и стабильной версии OpenSearch, как показано на рисунке.
sudo apt update sudo apt-get install opensearch
После успешной установки OpenSearch давайте настроим его для работы с Graylog. Для этого откройте конфигурационный файл opensearch.yml с помощью редактора nano:
sudo nano /etc/opensearch/opensearch.yml
Открыв файл, измените поля, как показано ниже, чтобы получить один узел с безопасным состоянием работы:
cluster.name: ubunutmint-graylog
node.name: ${HOSTNAME}
discovery.type: single-node
network.host: 0.0.0.0
action.auto_create_index: false
plugins.security.disabled: true
Примечание: Измените имя кластера по своему усмотрению. Помните также, что эти настройки не являются идеальными для производственной среды или если безопасность является вашим главным приоритетом. В таких случаях обратитесь к разделу Документации OpenSearch для настройки многоузлового кластера.
После изменения конфигурационного файла OpenSearch сохраните его и нажмите клавиши CTRL + O для выхода из файла.
Настройка JVM
Теперь настроим JVM (Java Virtual Machine) для OpenSearch. Для этого откройте файл «jvm.options», выполнив следующую команду:
sudo nano /etc/opensearch/jvm.options
Наконец, внутри файла обновите настройки Xms и Xmx в соответствии с желаемым выделением памяти из установленной системной памяти. Здесь оба параметра настроены на 1Гб памяти.
-Xms1g -Xmx1g
Давайте разберемся в приведенных выше строках:
- В
-Xms1gзадан начальный размер кэша для JVM – 1 Гб. - В
-Xmx1gобъявлен максимальный размер кэша для JVM – 1 Гб.
Далее пришло время настроить параметры времени выполнения ядра, выполнив предложенные команды для обеспечения оптимальной работы OpenSearch:
sudo sysctl -w vm.max_map_count=262144 sudo /bin/su -c "echo 'vm.max_map_count=262144' >> /etc/sysctl.conf"
Поскольку мы выполнили некоторые настройки, необходимо перезагрузить конфигурацию демона systemd:
sudo systemctl daemon-reload
После перезагрузки конфигурации демона systemd выполните следующие команды для запуска службы OpenSearch и ее включения, обеспечив автоматический запуск службы после перезагрузки:
sudo systemctl enable opensearch.service sudo systemctl start opensearch.service
Мы можем проверить, находится ли наша служба OpenSearch в активном состоянии или нет, выполнив команду systemctl status:
sudo systemctl status opensearch.service
Поздравляем, вы установили и настроили все необходимые условия для установки вашего Graylog. Теперь давайте быстро установим Graylog и получим к нему доступ.
Установка Graylog
Для установки Graylog перейдите в каталог, в который вы хотите загрузить файл пакета репозитория с именем «graylog-5.1-repository_latest.deb», выполнив следующие команды:
cd Downloads $ wget https://packages.graylog2.org/repo/packages/graylog-5.1-repository_latest.deb
Используйте менеджер пакетов dpkg для установки файла пакета репозитория Graylog:
sudo dpkg -i graylog-5.1-repository_latest.deb
И наконец, выполните следующую команду для обновления локального репозитория и установки сервера Graylog:
sudo apt-get update $ sudo apt-get install graylog-server
Graylog 5.1 установлен в вашей системе. Теперь давайте настроим Graylog.
Настройка Graylog
Для настройки Graylog вам потребуется 96-символьная случайная строка и 64-символьный хэш пароля сервера.
Для генерации 96-символьной случайной строки воспользуйтесь утилитой pwgen, которая создает 96-символьную случайную строку, содержащую специальные символы.
pwgen -N 1 -s 96
Создайте надежный пароль (например, UbuntuMintPass) для сервера Graylog и сгенерируйте его 64-символьный хэш с помощью следующей команды:
echo -n UbuntuMintPass | sha256sum
Скопируйте сгенерированный хэш и случайную строку.
Теперь откройте файл конфигурации сервера Graylog.
Внутри файла вставьте случайную строку в поле password_secret и хэш в поле root_password_sha2:
password_secret = <96_characters_random_string> root_password_sha2 = <64_characters_hash_of_admin_password>
Также поместите IP-адрес вашего Ubuntu в значение поля http_bind_address, как показано ниже:
http_bind_address = server_ip_address:9000
После этого сохраните и выйдите из файла конфигурации Graylog.
Далее необходимо перезагрузить конфигурацию демона systemd, выполнив следующую команду:
sudo systemctl daemon-reload
После этого включите и запустите службы сервера Graylog:
sudo systemctl enable graylog-server.service sudo systemctl start graylog-server.service
Вы также можете убедиться, что служба запущена, выполнив команду systemctl status:
sudo systemctl status graylog-server
Служба сервера Graylog активна и работает, а значит, вы можете получить доступ к серверу Graylog с помощью веб-браузера.
Доступ к Graylog Web
Для доступа к Graylog откройте любой браузер и введите в адресную строку URL формата http://
Например, если IP-адрес вашего Graylog сервера 192.168.168.128, введите http://192.168.168.128:9000 в адресную строку браузера для доступа к Graylog.
На экране появится веб-страница Graylog, введите пароль сервера и имя пользователя admin, затем нажмите кнопку Sign in:
Панель Graylog загрузится через некоторое время:
В заключение
Graylog – это инструмент мониторинга и анализа журналов с открытым исходным кодом, который помогает собирать, хранить и контролировать журналы, полученные из различных источников.
В данном руководстве была продемонстрирована процедура установки сервера Graylog, а также настройка всех необходимых предварительных условий.
Комментарии (0)