Graylogは、ログ管理用のオープンソースツールです。 Elastic Search、MongoDB、Graylogで構成されています。グレイログを使用してログを分析し、ログに不一致があるかどうかを通知できます。また、従来のログとカスタムログの分析にも使用できます。
この記事では、Graylogをインストールします。 sudo権限を持つアカウントまたはrootアカウントが必要です。
システムパッケージを更新します。
apt install -y apt-transport-https openjdk-11-jre-headless uuid-runtime pwgen curl dirmngr
apt update
apt upgrade上記のコマンドを使用して、インストールされているJavaのバージョンを確認できます。
java -version
さまざまなマシンからインポートされたログを分析および保存するために最終的に使用するElasticSearchをインストールします。
ElasticSearchGPGキーをダウンロードしてインストールします。
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -Ubuntu21ソースリストにElasticSearchリポジトリを追加します。
echo "deb https://artifacts.elastic.co/packages/oss-7.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-7.x.list以下のコマンドを使用してElasticSearchをインストールします。
sudo apt update
sudo apt install -y elasticsearch-oss
ElasticSearchでgraylogのクラスター名を追加します。次のコマンドを使用してElasticSearch構成ファイルを開きます。
nano /etc/elasticsearch/elasticsearch.yml行の先頭にある#記号を削除して「#cluster.name:my-application」のコメントを解除し、「my-application」をgraylogに置き換えます
構成ファイルに次の行を追加します。
action.auto_create_index: false
デーモンをリロードしてから、ElasticSearchServiceを起動して有効にします。
systemctl daemon-reload
systemctl start elasticsearch.service
systemctl enable elasticsearch.service
systemctl status elasticsearch.service
ElasticSearchはポート9200usecurlコマンドを使用してElasticSearchを検証します。
curl -X GET http://localhost:9200
次に、mongoDBをインストールします。 GraylogはmongoDBを使用するため、非常に重要です。
次のコマンドを使用して、MongoDBをインストールします。
apt update
apt install dirmngr gnupg apt-transport-https ca-certificates software-properties-common
wget -qO - https://www.mongodb.org/static/pgp/server-4.4.asc | sudo apt-key add -
add-apt-repository 'deb [arch=amd64] https://repo.mongodb.org/apt/ubuntu focal/mongodb-org/4.4 multiverse'
apt install mongodb-org
MongoDBを起動して有効にします。
systemctl start mongod.service
systemctl enable mongod.service
systemctl status mongod.service
Graylogのインストール:
Garylogリポジトリをダウンロードします。
wget https://packages.graylog2.org/repo/packages/graylog-4.1-repository_latest.deb
dpkg -i graylog-4.1-repository_latest.deb次に、Graylogサーバーをインストールします。
apt update
apt install -y graylog-server
Graylogサーバーがインストールされています。次に、構成します。
pwgenコマンドを使用して、安全なユーザーパスワードのシークレットを生成します。
pwgen -N 1 -s 96
グレイログ構成ファイルを編集して、上記のシークレットを追加します。
nano /etc/graylog/server/server.conf行「password_secret」を見つけて、「=」記号の後にシークレットを追加します。
構成ファイルに次の行を追加します。
rest_listen_uri = http://192.168.189.129:9000/api/
web_listen_uri = http://192.168.189.129:9000/
ファイルを保存して終了します。
次に、graylogサーバーWebにアクセスするためのパスワードを生成します。これを行うには、次のコマンドを使用します。
echo -n admin | sha256sum
adminを、上記のコマンドで設定したいパスワードに置き換えます。
上記のコマンドはハッシュキーを生成します。構成ファイル「/etc/graylog/server/server.conf」の「root_password_sha2=」
行に入力します。
ファイルを保存して終了します。
グレイログサービスを開始して有効にします。
systemctl daemon-reload
systemctl restart graylog-server.service
systemctl enable graylog-server.service
systemctl status graylog-server.service
構成ファイルから次の行のコメントを解除します。
http_bind_address = 0.0.0.0:9000
Webブラウザを開き、http://192.168.189.129:9000 /と入力し、ユーザー名とパスワードとしてadminと入力します。
クレデンシャルを入力した後、graylogサーバーに入ります。これで、ログを表示するように適宜構成できます。
