CentOS8でElasticsearchを使用してGraylogをインストールする方法

このガイドでは、CentOS8にElasticsearch7.xを使用してGraylogをインストールする方法について説明します。Graylogは、ネットワーク内のさまざまなデバイスからリアルタイムログをキャプチャして一元化するために2009年に設立されたオープンソースのログ管理ソリューションです。これは、SSHログイン、違反、またはシステム違反を示す可能性のある怪しいまたは異常なインシデントなどの重要なログを分析するための完璧なツールです。リアルタイムのロギング機能により、運用チームが大きな脅威に雪だるま式に進む前に小さな問題を軽減するために使用できる完璧なサイバーセキュリティツールとして登場します。

グレイログは3つの重要なコンポーネントで構成されています：

• Elasticsearch ：これは、Graylogサーバーから受信したデータにインデックスを付けるオープンソースの分析エンジンです。
• MongoDB ：これは、メタ情報と構成を格納するオープンソースのNoSQLデータベースです。
• グレイログサーバー ：これはログを渡し、ログが視覚化されるWebインターフェイスを提供します。

その要約で、CentOS8にGraylogをすぐにインストールします。

Graylogサーバーの前提条件

開始するときは、CentOS8インスタンスが次の要件を満たしていることを確認してください。

• 2つのCPU
• 4 GB RAM
• 高速で安定したインターネット接続

ステップ1）dnfコマンドを使用してJava8をインストールします

ElasticsearchはJava上に構築されているため、Java、より具体的にはJava8を何よりも先にインストールする必要があります。 OpenJDKまたはOracleJavaをインストールするオプションがあります。このガイドでは、OpenJDK8をインストールしています。

 $ sudo dnf install -y java-1.8.0-openjdk java-1.8.0-openjdk-devel 

インストールされているJavaのバージョンを確認するには、次のコマンドを実行します。

 $ java -version 

ステップ2）Elasticsearch7.xをインストールします

このガイドを書き留める時点でElasticsearch7.9.2であるElasticsearchの最新バージョンをインストールします。 ElasticsearchはCentOS8リポジトリでは利用できないため、ローカルリポジトリを作成します。ただし、最初に、図のようにGPGキーをインポートしましょう。

 $ sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch 

テキストエディタを使用して、次のように新しいリポジトリファイルを作成します。

 $ sudo vi /etc/yum.repos.d/elasticsearch.repo 

以下に示すコンテンツを貼り付けます

 [elasticsearch-7.x] name=7.xパッケージのElasticsearchリポジトリbaseurl=https：//artifacts.elastic.co/packages/7.x/yumgpgcheck=1gpgkey=https：//artifacts.elastic.co/ GPG-KEY-elasticsearchenabled =1autorefresh =1type =rpm-md 

構成ファイルを保存して終了します。 Elasticsearchをインストールするには、次のコマンドを実行します：

 $ sudo dnf install -y Elasticsearch 

インストールが完了したら、systemdに通知し、Elasticsearchを有効にします。

 $sudosystemctlデーモン-reload$sudo systemctl enable Elasticsearch 

ElasticsearchをGraylogで機能させる必要があるため、次のようにクラスター名を「graylog」に更新します。

 $ sudo vi /etc/elasticsearch/elasticsearch.yml ......... cluster.name：graylog ......... 

ファイルを保存して終了し、elasticsearchを再起動して、変更を有効にします。

 $ sudo systemctl restart Elasticsearch 

Elasticsearchが実行されていることを確認するために、図のようにポート9200を介してHTTPリクエストを送信します。

 $ curl -X GET "localhost：9200 /" 

次のような出力が得られるはずです。

ステップ3）MongoDB4をインストールする

MongoDBをインストールするには、ローカルリポジトリファイルを作成します

 $ sudo vi /etc/yum.repos.d/mongodb-org-4.repo 

以下に示す構成を貼り付けます

 [mongodb-org-4] name =MongoDB Repositorybaseurl =https：//repo.mongodb.org/yum/redhat/8/mongodb-org/4.2/x86_64/gpgcheck=1enabled=1gpgkey=https：// www .mongodb.org / static / pgp / server-4.2.asc 

保存して終了し、表示されているコマンドを使用してMongoDBをインストールします。

 $ sudo dnf install -y mongodb-org 

MongoDBがインストールされたら、MongoDBを起動し、図のようにステータスを確認します

 $ sudo systemctl start mongod $ sudo systemctl enable mongod $ sudo systemctl status mongod 

上記の出力は完璧で、mongodbサービスが正常に開始され、正常に実行されていることを確認しています。

ステップ4）Graylogサーバーをインストールして構成します

Graylogサーバーをインストールするには、最初に次のようにGraylogリポジトリをインストールします。

 $ sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-3.3-repository_latest.rpm 

リポジトリが追加されたら、図のようにGraylogサーバーをインストールします。

 $ sudo dnf install -y graylog-server 

インストールが正常に完了すると、次のコマンドを実行して、Graylogサーバーの詳細を確認できます。

 $ rpm -qi graylog-server 

次に、いくつかの構成を行います。まず、/ etc / graylog / server/server.conf構成ファイルのpassword_secretディレクティブで渡されるシークレットパスワードを生成します。これを行うには、pwgenと呼ばれるランダムパスワードジェネレータを使用してランダムパスワードを生成します。これをインストールするには、最初にCentOS8のEPELリポジトリを有効にする必要があります。

 $ sudo dnf install -y epel-release $ sudo dnf install -y pwgen 

インストールすると、コマンドを使用してランダムなパスワードを生成できます。

 $ sudo pwgen -N 1 -s 96 

コマンドの出力は次のようになります。

 [[email protected]〜] $ sudo pwgen -N 1 -s 96EtUtR16i9xwRsGbXROMFhSazZ3PvNe1tYui8wM5Q7h1UiXY0RTDdGygkhuDEJi9fpGwwXhMbYjcv9aFLh9DNF 

 暗号化されたパスワードをコピーして、できればテキストエディタのどこかに保存します。これはどこか別の場所で必要になります。
 

 次に、図のようにroot_password_sha2属性のパスワードを生成します。
 
 $ echo-n[メール保護]@123＃| sha256sum 
 

 出力は、
になります 
 [[email protected]〜] $ echo -n [email protected] @ 123＃| sha256suma8f1a91ef8c534d678c82841a6a88fa01d12c2d184e641458b6bec67eafc0f7c-[[メール保護]〜] $ 
 

 もう一度、この暗号化されたパスワードをどこかに保存します。次に、Graylogの構成ファイルを開きます。
 
 $ sudo vi /etc/graylog/server/server.conf 
 

 password_secret属性とroot_password_sha2属性を見つけて、対応する暗号化されたパスワードを貼り付けます。
 

  
 

 次に、http_bind_address属性のコメントを解除し、サーバーのIPを入力します。
 

  
 

 systemdをリロードし、Graylogを起動して有効にします。
 
 $sudosystemctlデーモン-reload$sudo systemctl start graylog-server $ sudo systemctl enable graylog-server 
 

 次のコマンドを実行して、Graylogサービスのステータスを確認します。
 
 $ sudo systemctl status graylog-server 
 

  
 

 ログファイル「/var/log/graylog-server/server.log」
を使用して、graylogサービスのステータスを確認することもできます。 

 ファイアウォールでGraylogサーバーを許可する： 
 

 ファイアウォールが有効で実行されている場合は、下のコマンドを使用して9000tcpポートを許可します。
 
 $ sudo Firewall-cmd --permanent --add-port =9000 / tcp $ sudo Firewall-cmd --reload 
 

 ブラウザでGraylogにアクセスするには、次のようにサーバーのIPアドレスを参照します。
 

 http：// server-IP：9000 
 

 構成ファイルで指定されているように、ユーザー名adminとrootユーザーに設定したパスワードを使用してログインしてください。
 

  
 

  
 

 これで、今日のトピックは終わりです。 CentOS8にGraylogをインストールする手順を段階的に説明しました。フィードバックとコメントを共有してください。