如何在 Ubuntu 20.04 上安装 Graylog

灰色日志 是一款开源日志管理工具,可帮助您集中存储和分析任何机器日志。 Graylog 设置由 Graylog 服务器、Elasticsearch 和 MongoDB 三个组件组成。

在这里,我们将看到如何在 Ubuntu 20.04 上安装 Graylog。

安装 Java

Graylog 设置需要 Java 版本 8 或更高版本。 您可以在您的机器上使用 OpenJDK 或 Oracle JDK 以进一步进行。

如何在 Ubuntu 20.04 上安装 Oracle Java

在这里,我将使用 OpenJDK 11。

sudo apt update  sudo apt install -y apt-transport-https openjdk-11-jre-headless uuid-runtime pwgen curl dirmngr

安装 OpenJDK 后验证 Java 版本。

java -version

输出:

openjdk version "11.0.8" 2020-07-14 OpenJDK Runtime Environment (build 11.0.8+10-post-Ubuntu-0ubuntu120.04) OpenJDK 64-Bit Server VM (build 11.0.8+10-post-Ubuntu-0ubuntu120.04, mixed mode, sharing)

安装 Elasticsearch

弹性搜索 存储来自外部来源的日志,并通过 RESTful Web 界面提供实时分布式搜索和分析。

下载并安装 GPG 签名密钥。

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -

通过运行以下命令在您的系统上设置 Elasticsearch 存储库。

echo "deb https://artifacts.elastic.co/packages/oss-6.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-6.x.list

更新存储库缓存,然后安装 Elasticsearch 包。

sudo apt update  sudo apt install -y elasticsearch-oss

编辑 Elasticsearch 配置文件以设置 Graylog 设置的集群名称。

sudo nano /etc/elasticsearch/elasticsearch.yml

将集群名称设置为 灰色日志, 如下所示。

cluster.name: graylog

然后,取消注释以下行。

action.auto_create_index: false

启动 Elasticsearch 服务以读取新配置。

sudo systemctl daemon-reload  sudo systemctl start elasticsearch  sudo systemctl enable elasticsearch

至少等待一分钟,让 Elasticsearch 完全启动。

Elastisearch 现在应该监听端口 9200。使用 curl 命令来检查 Elasticsearch 的响应。

curl -X GET https://localhost:9200

输出:

确保输出具有集群名称, 灰色日志.

{   "name" : "vQklpl4",   "cluster_name" : "graylog",   "cluster_uuid" : "jLztxJoOROK-XuZkoKJr6A",   "version" : {     "number" : "6.8.11",     "build_flavor" : "oss",     "build_type" : "deb",     "build_hash" : "00bf386",     "build_date" : "2020-07-09T19:08:08.940669Z",     "build_snapshot" : false,     "lucene_version" : "7.7.3",     "minimum_wire_compatibility_version" : "5.6.0",     "minimum_index_compatibility_version" : "5.0.0"   },   "tagline" : "You Know, for Search" } 

安装 MongoDB

MongoDB 作为存储 Graylog 配置的数据库。 Graylog 需要 MongoDB v3.6、4.0 或 4.2。

不幸的是,MongoDB 官方存储库没有 Ubuntu 20.04 所需的 MongoDB 版本。 因此,我们将从 Ubuntu 基础存储库安装 MongoDB v3.6。

sudo apt update  sudo apt install -y mongodb-server

启动 MongoDB 并在系统启动时启用它。

sudo systemctl start mongodb  sudo systemctl enable mongodb 

安装 Graylog 服务器

灰色日志服务器 从 Elasticsearch 读取来自用户的搜索查询数据,然后通过 Graylog Web 界面为他们显示。

下载并安装 Graylog 3.3 存储库配置包。

wget https://packages.graylog2.org/repo/packages/graylog-3.3-repository_latest.deb  sudo dpkg -i graylog-3.3-repository_latest.deb

更新存储库缓存。

sudo apt update

使用以下命令安装 Graylog 服务器。

sudo apt install -y graylog-server 

您必须设置一个秘密来保护用户密码。 使用 pwgen 命令生成密钥。

pwgen -N 1 -s 96 

输出:

HRy1WNsMQIWF228SsbdQCnCsTBL7wVez28UsZXI8PXqStx5DQe3PAmtpm8PNm6g8K44fVFNo4c7Bvp4WCOyxGiSXvdhOXl8w

编辑 服务器配置文件 文件。

sudo nano /etc/graylog/server/server.conf

然后,像下面这样放置秘密。

password_secret = HRy1WNsMQIWF228SsbdQCnCsTBL7wVez28UsZXI8PXqStx5DQe3PAmtpm8PNm6g8K44fVFNo4c7Bvp4WCOyxGiSXvdhOXl8w

现在,为root用户生成一个hash(sha256)密码(不要和系统用户混淆,graylog的root用户是 admin)。

您将需要此密码才能登录 Graylog Web 界面。 无法使用 Web 界面更改管理员密码。 所以,你必须编辑这个变量来设置。

代替 密码 选择您的密码。

echo -n password | sha256sum 

输出:

5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8

编辑 服务器配置文件 再次归档。

sudo nano /etc/graylog/server/server.conf

然后,放置哈希密码,如下所示。

root_password_sha2 = 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8

设置 Graylog 网页界面

从版本 Graylog 2.x 开始,Web 界面由 Graylog 服务器直接提供服务。 通过编辑启用 Graylog Web 界面 服务器配置文件 文件。

sudo nano /etc/graylog/server/server.conf

使用您的系统 IP 地址更新以下条目,您将通过该地址访问 Graylog Web 界面。

http_bind_address = 192.168.0.10:9000

如果您碰巧由于 NAT 使用公共 IP 地址访问 Graylog,请更新以下值。 否则,跳过它。

http_external_uri = https://public_ip:9000/

启动并启用 Graylog 服务。

sudo systemctl daemon-reload  sudo systemctl start graylog-server  sudo systemctl enable graylog-server

继续查看 Graylog 服务器启动日志。 如果出现任何问题,此日志将有助于您对 Graylog 进行故障排除。

sudo tail -f /var/log/graylog-server/server.log

Graylog 服务器成功启动后,您应该会在日志文件中收到以下消息。

2020-08-03T16:03:06.326-04:00 INFO  [ServerBootstrap] Graylog server up and running.

访问 Graylog

Graylog Web 界面现在将侦听端口 9000。打开浏览器并将其指向。

https://ip.add.re.ss:9000

使用用户名登录 admin 以及您配置的密码 root_password_sha2服务器配置文件 文件。

登录后,您将看到入门页面。

点击 系统 >> 概述 了解 Graylog 服务器的状态。

创建 Graylog 输入

在下一篇文章中,我们将看到如何配置 Graylog 以接收来自外部来源的 Rsyslog 日志。

结论

您已在 Ubuntu 20.04 上成功安装 Graylog 3.0。 作为进一步阅读,您可以尝试配置 Nginx 或 Apache 作为反向代理为 Graylog Web 界面设置 HTTPS.