このチュートリアルは、ユーザーがUbuntu 20.04 LTSサーバーにGraylogをインストールして使用し、システムログデータを一元的に収集して分析するのに役立ちます。
Graylogは、ログデータを収集、インデックス作成、分析するための統合プラットフォームを提供するオープンソースツールです。このシステムは基本的に、Graylog Webインターフェース、Graylogサーバー、Elasticsearchノード、およびMongoデータベースで構成されています。
ノードは必要に応じてスケーリングできます。テストには、すべてを1つのノードにまとめたシステムで十分です。 Graylogサーバーはアーキテクチャの中心的な要素であり、Elasticsearchインデックスの管理を処理し、抽象化レイヤーを形成します。したがって、Elasticsearchを、ログデータの分析に特に適した別のシステムと交換することが可能です。
Graylogは、さまざまな入力メカニズムをサポートしています。デフォルトでは、Syslog、GELF、JSON / REST-URL、およびRAWの4つの異なる形式またはプロトコルがサポートされています。 syslogは、ログメッセージの送信の標準であり、システムコンポーネントによってよく使用されます。
このチュートリアルを実行するために必要なもの:
- MongoDB
- ElasticSearch
- Graylogサーバー
-
sudoを持つroot以外のユーザー 権利 - 4つのCPUコアと8GBのRAMを搭載したUbuntuサーバー
Graylog Ubuntu20.04LTSをインストールする手順
1。必要な依存関係をインストールする
グレイログサーバーがUbuntu20.04LTSにインストールするために必要なものはいくつかありますが、そのうちのいくつかはJava、パスワードジェネレーター、およびいくつかの一般的なものです。以下のコマンドを実行して、すべてをインストールします。
まず、システムアップデートコマンドを実行します
sudo apt update
次に、次のパッケージをインストールします…
sudo apt-get install apt-transport-https openjdk-11-jre-headless uuid-runtime pwgen
2。グレイログ用にUbuntu20.04でMongoDBをセットアップする
GraylogはMongoDBを使用してデータを保存するため、後で生成されたログをサーバーに保存してさらに分析できるように、サーバーにインストールする必要があります。
インストールする必要のあるパッケージ MongoDBはUbuntuの公式リポジトリですでに利用可能であるため、以下のコマンドを実行するだけです。
sudo apt install -y mongodb-server
データベースサーバーサービスを有効にして開始します:
sudo systemctl enable --now mongodb
sudo systemctl restart mongod.service
エラーなしで正しく実行されているかどうかを確認するには、次のコマンドを実行できます:
sudo systemctl status mongodb
3。 ubuntu20.04LTSサーバーにElasticSearchをインストールする
Elasticsearchは、オープンソースの全文検索および分析エンジンです。また、拡張性が高く、ユーザーは大量のデータをすばやくほぼリアルタイムで保存、検索、分析できます。これは、Graylogで多数のログを処理および分析するのに役立ちます。
このシステムはUbuntu20.04のベースリポジトリでは利用できないため、公式のElasticSearchリポジトリを手動で追加する必要があります。
GPGキーを追加する:
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
Elastic Searchリポジトリを追加する:
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-7.x.list
Ubuntu 20.04にElasticSearchオープンソースバージョンをインストールするコマンド:
sudo apt-get update && sudo apt-get install elasticsearch-oss
Elasticsearch構成ファイルを変更して、クラスター名をgraylogに設定します action.auto_create_index: falseを追加します
このためには、単にコピー&ペースト 以下に示すコマンドブロック全体 Enterを押します キー。
sudo tee -a /etc/elasticsearch/elasticsearch.yml > /dev/null <<EOT cluster.name: graylog action.auto_create_index: false EOT
Elastic Searchサービスを有効にして開始します:
sudo systemctl daemon-reload sudo systemctl enable --now elasticsearch sudo systemctl restart elasticsearch.service
4。 Ubuntu20.04にGraylogサーバーをインストールするコマンド
debパッケージとして利用できるGraylogのリポジトリをダウンロードします。
wget https://packages.graylog2.org/repo/packages/graylog-4.0-repository_latest.deb
インストール:
sudo dpkg -i graylog-4.0-repository_latest.deb
次に、システムを更新します 新しく追加されたリポジトリを認識して、Graylogのパッケージをダウンロードできるようにします。
sudo apt-get update
最後に、インストールします
sudo apt-get install graylog-server
追加 :統合プラグインまたはエンタープライズプラグインもインストールする場合は、次を実行します。
sudo apt install graylog-enterprise-plugins graylog-integrations-plugins graylog-enterprise-integrations-plugins
5。グレイログ構成ファイルを編集して、管理者パスワードを設定します
パスワードの値は2つあります-password_secret および root_password_sha2 、構成する必要があります。そうしないと、Ubuntu20.04LTSのGraylogがまったく起動しません。
これらの2つの値は、Graylog構成ファイルにあります。 そして、私たちが彼らに設定したものは、ユーザーパスワードを保護し、そのWebインターフェイスで管理者ユーザーにログインするために使用します。ただし、それらにプレーンテキスト値を設定することはできません。代わりに、ハッシュを生成する必要があります。したがって、実行します:
password_secretキーを設定
pwgen -N 1 -s 96
上記のコマンドは、ユーザーパスワードを保護するための秘密鍵を生成するため、コピー それを使用して構成ファイルを編集します:
sudo nano /etc/graylog/server/server.conf
次に、password_secret =を見つけます ファイルにコピーした秘密鍵をその前に貼り付けます。下のスクリーンショットに示すように。
Ctrl + Xを押してファイルを保存します 、 Y、 Enterを押します キー。
root_password_sha2ハッシュを設定
GraylogWebインターフェースにログインするためのデフォルトのユーザー名はadminです。 、パスワードを設定する必要がありますが、ここではそれを行っています。以下のコマンドを使用して、設定するパスワードのハッシュを生成します。
echo -n MyPassword | sha256sum
注 : MyPasswordを変更します 上記のコマンドで、GraylogWebインターフェイスにログインするために設定するパスワードを使用します。
Enterを押すと 上記のコマンドを使用した後、キーを押すと、ハッシュサムが生成されます。 コピーします。
ここで、構成ファイルを再度編集します :
sudo nano /etc/graylog/server/server.conf
次の行を見つけます: root_password_sha2 次のスクリーンショットに示すように、ハッシュサムをその前に貼り付けます。
また、デフォルトでは、GraylogにはローカルホストIP、つまり 127.0.0.1を使用してのみアクセスできます。 したがって、Webインターフェイスにリモートでアクセスすることを計画している場合は、構成ファイルのサーバーIPアドレスで変更してください。
ラインを見つける :http_bind_address, コメントを外して127.0.0.1を変更します graylogをインストールするシステムのIPアドレス
ファイルを保存します– Ctrl + X、Y Enterを押します キー。
6。 Graylogサーバーを有効にして再起動します
すでにすべての重要な構成が完了しているので、このログシステムサービスを自動的に開始できるようにします。
sudo systemctl daemon-reload sudo systemctl enable --now graylog-server sudo systemctl restart graylog-server
エラーなしで実行されているかどうかを確認します:
sudo systemctl status graylog-server
GraylogWebインターフェイスへのアクセスを計画している場合 リモートでポート9000も開きます Ubuntuファイアウォールの場合:
sudo ufw allow 9000
7。 Webインターフェースにアクセスする
Ubuntu20.04サーバーのIPアドレスにアクセスできるローカルシステムまたはリモートでブラウザーを開きます。そして、http://your-server-ipaddress:9000と入力します
your-server-ip-addressを置き換えます グレイログがあるサーバーの実際のIPアドレス インストールされました。
デフォルトのユーザー名はadmin 一方、パスワード ステップ5で設定したものです root_passwordについてはこの記事の例 コマンドでは、 MyPasswordを使用しました 。
8。ホストシステムのSysログをGraylogに送信する
/etc/rsyslog.d/の下に構成ファイルを作成します ログの送信先をシステムに通知します。
sudo nano /etc/rsyslog.d/90-graylog.conf
次の行を追加します:
*.* @your-server-ip:5140;RSYSLOG_SyslogProtocol23Format
your-server-ipを置き換えます ログの送信元のシステムのIPアドレスを使用します。グレイログをインストールしたホストシステムの場合は、そのIPアドレスを使用してください。
Ctrl + Xと入力してファイルを保存します 、 Y、 Enterを押します キー。
次に、Graylogにノードの入力を追加します。
グレイログのダッシュボードで、システムをクリックします ->入力 。
Syslog UDPを選択します 新しい入力を起動を押します ボタン。
ノードを選択します ドロップダウンボックスから、タイトルを指定します (必要なものは何でも)入力してからポートを設定します 5140までの番号 その後、下にスクロールして保存します 構成。
次に、[入力の開始]をクリックします 」ボタンをクリックしてサーバー入力を開始します。
9。指標ダッシュボード
サーバーからの入力が開始されたら、検索をクリックします グレイログメニューに表示され、サーバーからリアルタイムでメトリックとログの取得を開始します。また、指標の更新頻度を設定することもできます。
このログ管理ツールおよびその他の構成タスクの詳細については、GraylogでリバースプロキシおよびHTTPSとしてNginx/Apacheを使用する方法も記載されている公式ドキュメントを参照してください。