Graylog — инструмент для централизированного сбора, хранения и анализа системных журналов

Установка Java 17
Установка MongoDB
Установка и настройка OpenSearch
Установка и настройка Graylog

Окружение

• Версия РЕД ОС: 7.3
• Конфигурация: Сервер графический
• Версия ПО: graylog-server-5.2.9, java-17-openjdk-17.0.10, mongodb-org-7.0.8, opensearch-2.14.0

Graylog — это платформа для централизованного сбора, хранения, фильтрации, анализа и визуализации логов, которая помогает организациям получать ценные инсайты из своих данных.

Graylog предоставляет удобный интерфейс для работы с логами, позволяя администраторам и аналитикам быстро находить и устранять проблемы, а также отслеживать активность в реальном времени. Благодаря поддержке различных источников данных и гибким возможностям настройки graylog становится незаменимым инструментом для обеспечения безопасности и стабильности ИТ-инфраструктуры.

Graylog требует установки и настройки нескольких компонентов для полноценной работы.

1. Java 17 — обеспечивает совместимость и стабильность работы graylog (рекомендуется использовать последнюю стабильную версию для обеспечения безопасности и производительности).

2. MongoDB — база данных, которая используется graylog для хранения конфигурационных данных и метаданных.

3. OpenSearch — поисковая и аналитическая система, которая позволяет обрабатывать большие объёмы данных, предоставляя обширные возможности для поиска и анализа логов.

4. Сервер Graylog — основной компонент, который собирает, обрабатывает и визуализирует логи.

Каждый из компонентов выполняет свою роль в общей системе управления логами.

Установка Java 17

Для установки java-17 выполните следующие шаги:

1. Установите java-17, выполнив в терминале команду (потребуются права администратора):

 sudo dnf install java-17-openjdk

2. Выберите версию по умолчанию 17:

 update-alternatives --config java

Установка MongoDB

Для установки mongodb выполните следующий алгоритм действий:

1. Установите mongodb:

 sudo dnf install mongodb-org

2. Перезагрузите конфигурацию системных служб:

 sudo systemctl daemon-reload

3. Добавьте службу mongod в автозагрузку:

 sudo systemctl enable mongod --now

4. Проверьте статус службы mongod:

 sudo systemctl status mongod

В статусе должно отображаться active (running).

Установка и настройка OpenSearch

Для установки opensearch выполните следующий алгоритм действий:

1. Для установки opensearch необходимо определить собственный пароль администратора, чтобы настроить демонстрационную конфигурацию безопасности.

 sudo env OPENSEARCH_INITIAL_ADMIN_PASSWORD=<пароль> dnf install opensearch

где:

<пароль> — установите пароль администратора длиной от 12 символов, содержащий прописные буквы, строчные буквы, спецсимволы, цифры.

2. Настройки opensearch находятся в файле /etc/opensearch/opensearch.yml. Внесите изменения в конфигурационный файл:

 sudo nano /etc/opensearch/opensearch.yml

3. Добавьте следующие строки:

cluster.name: graylog
node.name: ${HOSTNAME}
path.data: /var/lib/opensearch
path.logs: /var/log/opensearch
discovery.type: single-node
network.host: 0.0.0.0
action.auto_create_index: false
plugins.security.disabled: true

4. Установите значение параметра виртуальной памяти vm.max_map_count:

 sudo sysctl -w vm.max_map_count=262144

5. Добавьте параметр в файл конфигурации:

 sudo echo 'vm.max_map_count=262144' >> /etc/sysctl.conf

6. Перезагрузите конфигурацию системных служб, чтобы применить изменения:

 sudo systemctl daemon-reload

7. Включите opensearch для автоматического запуска при загрузке системы:

 sudo systemctl enable opensearch --now

8. Проверьте статус opensearch, чтобы убедиться, что он запущен и работает корректно:

 sudo systemctl status opensearch 

При успешно выполненных настройках в статусе должно отображаться active (running).

Установка и настройка Graylog

Для установки и настройки graylog выполните следующий алгоритм действий:

1. Установите graylog:

 sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-5.2-repository_latest.rpm

2. Установите graylog-server:

 sudo dnf install graylog-server

3. Создайте пароли для двух переменных password_secret и root_password_sha2. Без указанных переменных graylog не сможет запуститься.

Создайте хеш пароля администратора graylog. Используйте следующую команду, чтобы сгенерировать хеш для введенного <пароля>:

 echo -n "Enter Password: " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1

Введите пароль:

 Enter Password: <пароль>

В терминале отобразится хеш пароля:

 <хеш_пароля>

Создайте секретный ключ password_secret:

 < /dev/urandom tr -dc A-Z-a-z-0-9 | head -c${1:-96};echo;

В терминале отобразится секретный ключ:

 <секретный_ключ>

Скопируйте полученные значения <хеш_пароля> и <секретный_ключ>.

4. Откройте конфигурационный файл /etc/graylog/server/server.conf на редактирование:

 sudo nano /etc/graylog/server/server.conf

5. Измените следующие строки:

root_password_sha2 = <хеш_пароля>
password_secret = <секретный_ключ>
elasticsearch_hosts = http://localhost:9200

6. Перезагрузите конфигурацию системных служб:

 sudo systemctl daemon-reload

7. Включение graylog для автоматического запуска:

 sudo systemctl enable graylog-server --now

8. Проверьте статус graylog:

 sudo systemctl --type=service --state=active | grep graylog

В случае успешного запуска сервера graylog в терминале отобразится сообщение: loaded active running Graylog server. Это означает, что сервер Graylog успешно запущен и работает.

9. Перейдите по адресу http://localhost:9000 и войдите под учетной записью admin: <пароль>.

После входа в учетную запись отобразится веб-интерфейс Graylog. В этом интерфейсе можно управлять настройками Graylog, просматривать и анализировать логи, настраивать потоки данных, создавать дашборды и выполнять другие действия, связанные с мониторингом и анализом логов.

Дата последнего изменения: 24.09.2024

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.