Como instalar a Ferramenta de Gerenciamento de Log Greylog nos sistemas RHEL

O GrayLog é uma solução de gerenciamento de log OpenSource, líder do setor, para coletar, armazenar, indexar e analisar dados em tempo real de aplicativos e uma infinidade de dispositivos em infraestruturas de TI, como servidores, roteadores e firewalls.

Graylog Ajuda a obter mais informações sobre os dados coletados, combinando várias pesquisas por análises detalhadas e relatórios. Ele também detecta ameaças e possíveis atividades nefastas, realizando uma análise profunda dos troncos de fontes remotas.

Ferramenta de gerenciamento de log do Graylog

Graylog compreende o seguinte:

• O servidor GrayLog - este é o servidor principal e é usado para processamento de logs.
• A interface da web de GrayLog - este é um aplicativo de navegador que dá uma olhada nos dados e logs coletados de vários terminais.
• MongoDB - um servidor de banco de dados NoSQL para armazenar dados de configuração.
• Elasticsearch - Este é um mecanismo de pesquisa e análise gratuito e de código aberto que analisa e indexa dados brutos de várias fontes.

A Arquitetura do GrayLog aceita qualquer tipo de dados estruturados, incluindo tráfego de rede e logs do seguinte:

• Syslog (TCP, UDP, AMQP, Kafka).
• AWS - AWS Logs, Cloudtrail e FlowLogs.
• Netflow (UDP).
• Gelf (TCP, UDP, AMQP, Kafka).
• Elk - batidas e logstash.
• JSON PATH da API HTTP.

Algumas das empresas de tecnologia gigantes que implementam Graylog em suas pilhas de tecnologia incluem Fiverr, Circleci, Base de artesanato, e Bitpanda.

Neste guia, mostraremos como instalar o Graylog ferramenta de gerenciamento de log em RHEL 8 e distos baseados em Rhel como Almalinux, CentOS Stream, e Rocky Linux.

Etapa 1: Instale os pacotes de repositórios e pré -requisitos EPEL

Para começar, você precisa de alguns pacotes essenciais que serão úteis à medida que você se move junto com este guia. Primeiro, instale o EPEL repositório que fornece um rico conjunto de pacotes de software para RHEL & RHEL distribuições.

$ sudo dnf install https: // dl.FedoraProject.org/pub/epel/epel-latest-8.Noarch.RPM 

Em seguida, instale os seguintes pacotes que serão necessários ao longo do caminho.

$ sudo dnf install -y pwgen wget curl perl-digest-sha 

Etapa 2: Instale Java (OpenJDK) em Rhel

Um dos pré -requisitos de instalação Graylog é Java 8 e versões posteriores. Aqui, vamos instalar o último lançamento do LTS de Java qual é Java 11 que será fornecido por OpenJdk 11.

Portanto, execute o seguinte comando para instalar OpenJdk.

$ sudo dnf install java-11-openjdk java-11-openjdk-devel -y 

Isso instala Java dependências e uma série de outras dependências.

Depois que a instalação estiver concluída, verifique a versão instalada.

$ java -version 

Verifique Java em Rhel

Etapa 3: Instale o Elasticsearch em Rhel

Elasticsearch é um mecanismo de pesquisa e análise de código aberto e de código aberto que lida com uma ampla variedade de dados, incluindo dados estruturados, não estruturados, numéricos, geoespaciais e textuais.

É um componente essencial da pilha elástica, também conhecida como Elk (Elasticsearch, Logstash e Kibana) e é amplamente utilizado para suas APIs de descanso simples, escalabilidade e velocidade.

Graylog requer Elasticsearch 6.x ou 7.x. Vamos instalar Elasticsearch 7.x que é o último lançamento no momento da publicação deste guia.

Crie o Elasticsearch arquivo de repositório.

$ sudo vim /etc /yum.Repos.D/Elasticsearch.repo 

Em seguida, cole as seguintes linhas de código no arquivo.

[Elasticsearch-7.x] nome = repositório Elasticsearch para 7.x Pacotes Baseurl = https: // artefatos.elástico.CO/PACAGES/OSS-7.x/yum gpgcheck = 1 gpgKey = https: // artefatos.elástico.CO/GPG-KEY-ELASTICSearch Habiled = 1 AutoreFresh = 1 Type = RPM-MD 

Salve as mudanças e saia.

Em seguida, instale Elasticsearch Usando o gerenciador de pacotes DNF como mostrado.

$ sudo dnf install elasticsearch-ross 

Instale Elasticsearch em Rhel

Para Elasticsearch trabalhar com Graylog, Algumas mudanças são necessárias. Então abra o Elasticsearch.yml arquivo.

$ sudo vim/etc/elasticsearch/elasticsearch.yml 

Atualize o nome do cluster para o GrayLog, como mostrado.

conjunto.Nome: Graylog 

Salve as mudanças e saia.

Em seguida, recarregue a configuração do gerenciador do SystemD.

$ sudo systemctl daemon -load 

Em seguida, ativar e iniciar o Elasticsearch serviço executando os seguintes comandos.

$ sudo systemctl atability Elasticsearch.Serviço $ sudo SystemCtl Elasticsearch.serviço 

Habilitar Elasticsearch em Rhel

Elasticsearch escuta para porto 9200 por padrão para processar Http solicitações de. Você pode confirmar isso enviando um ONDULAÇÃO solicitação como mostrado.

$ CURL -X Get http: // localhost: 9200 

Verifique o Elasticsearch em Rhel

Etapa 4: Instale o MongoDB em Rhel

Graylog usa a MongoDB Servidor de banco de dados para armazenar dados de configuração.

Vamos instalar MongoDB 4.4, Mas primeiro, crie um arquivo de configuração para MongoDB.

$ sudo vim /etc /yum.Repos.D/MONGODB-ORG-4.repo 

Em seguida, cole a seguinte configuração.

[mongodb-org-4] nome = repositório de mongodb baseurl = https: // repo.MongoDB.org/yum/redhat/8/mongodb-org/4.4/x86_64/gpgcheck = 1 habilitado = 1 gpgKey = https: // www.MongoDB.org/static/pgp/server-4.4.ASC 

Salve as mudanças e saia.

Em seguida, instale MongoDB do seguinte modo.

$ sudo dnf install mongodb-org 

Depois de instalado, inicie e permita que o MongoDB inicie a inicialização do sistema.

$ sudo SystemCtl Start MongoD $ sudo SystemCtl Ativar MongoD 

Para verificar a versão MongoDB, execute o comando:

$ MONGO -Versão 

Verifique o MongoDB no RHEL

Etapa 5: instale o servidor GrayLog em Rhel

Com todos os componentes pré -requisitos instalados, agora instale Graylog executando os seguintes comandos.

$ sudo rpm -uvh https: // pacotes.GrayLog2.org/repo/packages/GrayLog-4.2-repository_latest.RPM $ sudo dnf install Graylog-Server 

Você pode verificar a instalação de Graylog como mostrado:

$ rpm -qi Graylog -Server 

Verifique Graylog em Rhel

Agora, inicie e habilite o Graylog servidor para iniciar o tempo de inicialização.

$ sudo systemctl start Graylog-Server.Serviço $ sudo systemctl atability Graylog-Server.serviço 

Etapa 6: Configure o servidor GrayLog em Rhel

Para Graylog Para funcionar conforme o esperado, são necessárias algumas etapas adicionais. Você precisa definir os seguintes parâmetros no arquivo de configuração:

root_password_sha2 senha_secret root_username http_bind_address 

Vamos definir essas variáveis ​​no /etc/GrayLog/servidor/servidor.conf arquivo que é o arquivo de configuração padrão.

O root_password_sha2 é a senha de hash para o usuário root. Para gerá -lo, execute o seguinte comando. O [Email protegido] é apenas um espaço reservado. Sinta -se à vontade para especificar sua própria senha.

$ echo -n [email protegido] | Shasum -a 256 

Saída

68E865AF8DDBEFFC494508BB6181167FCCF0BB7C0CAB421C54EF3067BDD8D85D 

Tome nota desta senha e salve -a em algum lugar.

Em seguida, gerar o Password_Secret do seguinte modo:

$ pwgen -n 1 -s 96 

Saída

T1ETSSECY0QE4JIG3T6E96A5QLU5WHS9P5SLIVEX9KYBWJC3WKHN4246OQGype4BTlXAAIOCM7LYUSD9BGAONQXKTJUQBF 

Novamente, tome nota desta senha hashed.

Em seguida, abra o arquivo de configuração do GrayLog.

$ sudo vim/etc/Graylog/servidor/servidor.conf 

Colar os valores que você gerou root_password_sha2 e Password_Secret como mostrado.

root_username = admin root_password_sha2 = 68e865af8ddbeffc494508bb6181167fccf0bb7c0cab421c54ef3067bdd8d85d password_secret = T1EtSsecY0QE4jIG3t6e96A5qLU5WhS9p5SliveX9kybWjC3WKhN4246oqGYPe4BTLXaaiOcM7LyuSd9bGAonQxkTsTjuqBf 

Além disso, faça Graylog acessível por usuários externos definindo o http_bind_address parâmetro da seguinte forma.

http_bind_address = 0.0.0.0: 9000 

Além disso, configure o fuso horário para o Graylog servidor.

root_timeZone = utc 

Salvar e sair do arquivo de configuração.

Para aplicar as mudanças, reinicie o Graylog servidor.

$ sudo systemctl reinicie o cinza-servidor.serviço 

Você pode confirmar nos arquivos de log e verificar se Graylog está funcionando como esperado.

$ cauda -f/var/log/graylog -server/servidor.registro 

A saída a seguir na última linha mostra que está tudo bem.

Verifique o status do Graylog no RHEL

Graylog ouve na porta 9000 que fornece acesso à interface da web. Então, abra esta porta no firewall.

$ sudo firewall-cmd --add-port = 9000/tcp-permanente $ sudo firewall-cmd--reload 

Etapa 7: Access Graylog Web UI

Acessar Graylog, Navegue pelo seguinte URL.

http: // server-ip: 9000 ou http: // domain-name: 9000 

Faça login com seu nome de nome de usuário e a senha configurada para root_password_sha2 no servidor.conf arquivo.

Login do usuário do Graylog

Depois de conectado, você deve ver o seguinte painel.

Painel de Graylog

A partir daqui, você pode prosseguir com a análise de dados e logs coletados de várias fontes de dados.

GrayLog continua sendo uma solução popular de gerenciamento de log centralizada para desenvolvedores e equipes de operações. A análise dos dados coletados fornece informações profundas sobre o estado de trabalho de várias aplicações e dispositivos e ajuda a encontrar erros e otimizar as operações de TI.

Isso é tudo para este guia. Neste tutorial, demonstramos como instalar Servidor GrayLog nas distribuições Linux baseadas em Rhel.