Graylogは、無料のオープンソースのログ管理ツールであり、マシンのログを一元的に収集して分析するのに役立ちます。
このガイドは、Debian 10 / Debian 9へのGraylog(v3.2)のインストールに焦点を当てています。
コンポーネント
- Elasticsearch –マシンログを保存し、検索機能を提供します。
- MongoDB –構成とメタ情報を保存するデータベースとして機能します。
- Graylogサーバー– tはさまざまな入力からログを収集し、ログを管理するための組み込みのWebインターフェイスを提供します。
前提条件
グレイログのセットアップに必要ないくつかのパッケージをインストールします。
sudo apt update sudo apt install -y apt-transport-https uuid-runtime pwgen curl dirmngr wget
Elasticsearch用にOracleJDKまたはOpenJDKをマシンにインストールします。
sudo apt install -y default-jre
Javaのバージョンを確認してください。
java -version
出力:
openjdk version "11.0.6" 2020-01-14 OpenJDK Runtime Environment (build 11.0.6+10-post-Debian-1deb10u1) OpenJDK 64-Bit Server VM (build 11.0.6+10-post-Debian-1deb10u1, mixed mode, sharing)
Elasticsearchをインストールする
Elasticsearchは、Graylogセットアップの主要コンポーネントの1つです。検索サーバーとして機能し、RESTfulWebインターフェースを使用してリアルタイムの分散検索と分析を提供します。
Elasticsearchは、Graylogサーバーから送信されたログを保存し、ユーザーが組み込みのWebインターフェイスを介して要求するたびにメッセージを表示します。
ElasticsearchGPG署名キーを追加しましょう。
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
以下のコマンドを実行して、Eleasticsearchリポジトリを構成します。
echo "deb https://artifacts.elastic.co/packages/oss-6.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-6.x.list
リポジトリキャッシュを更新し、Elasticsearchをインストールします。
sudo apt update sudo apt install -y elasticsearch-oss
Elasticsearchの構成ファイルを編集します。
sudo nano /etc/elasticsearch/elasticsearch.yml
クラスタ名をgraylogとして設定します。
cluster.name: graylog action.auto_create_index: false
Elasticsearchサービスを再起動します。
sudo systemctl restart elasticsearch
システムの起動時に自動的に開始するようにElasticsearchを設定します。
sudo systemctl enable elasticsearch
Elasticsearchが完全に開始されるまで1分待ちます。
Elastisearchは、HTTPリクエストを処理するためにポート9200でリッスンしているはずです。 CURLを使用して応答を確認します。
curl -X GET http://localhost:9200
クラスタ名がgraylogとして表示されていることを確認してください。
{
"name" : "EHpBH-y",
"cluster_name" : "graylog",
"cluster_uuid" : "cGXE-wgsT56sBKsDC_TYBw",
"version" : {
"number" : "6.8.7",
"build_flavor" : "oss",
"build_type" : "deb",
"build_hash" : "c63e621",
"build_date" : "2020-02-26T14:38:01.193138Z",
"build_snapshot" : false,
"lucene_version" : "7.7.2",
"minimum_wire_compatibility_version" : "5.6.0",
"minimum_index_compatibility_version" : "5.0.0"
},
"tagline" : "You Know, for Search"
}
Elasticsearchクラスターの状態を確認してください。
curl -XGET 'http://localhost:9200/_cluster/health?pretty=true'
クラスタのステータスが緑であることを確認してください 。
{
"cluster_name" : "graylog",
"status" : "green",
"timed_out" : false,
"number_of_nodes" : 1,
"number_of_data_nodes" : 1,
"active_primary_shards" : 0,
"active_shards" : 0,
"relocating_shards" : 0,
"initializing_shards" : 0,
"unassigned_shards" : 0,
"delayed_unassigned_shards" : 0,
"number_of_pending_tasks" : 0,
"number_of_in_flight_fetch" : 0,
"task_max_waiting_in_queue_millis" : 0,
"active_shards_percent_as_number" : 100.0
}
MongoDBをインストールします
Graylog3はMongoDB4.0でのみ動作します。したがって、Debianのバージョンに応じて、以下のリンクの指示に従ってMongoDB4.0をインストールしてください。
読む: Debian10にMongoDB4.0をインストールする方法
読む: Debian9にMongoDB4.0をインストールする方法
Graylogのインストール
Graylogサーバーは、マシンログを受け入れて処理し、graylogWebインターフェイスからのリクエストに対してそれらを表示します。
Graylogリポジトリパッケージをダウンロードしてインストールします。
wget https://packages.graylog2.org/repo/packages/graylog-3.2-repository_latest.deb sudo dpkg -i graylog-3.2-repository_latest.deb
リポジトリキャッシュを更新します。
sudo apt update
aptコマンドを使用してGraylogサーバーをインストールします。
sudo apt install -y graylog-server
ユーザーパスワードを保護するためのシークレットを設定します。同じようにpwgenコマンドを使用します。
pwgen -N 1 -s 96
出力:
AE9RxeSA6BC6OCYh0zciUV7WMucNfodMhsmjYKOaBpWfQCBTzroa9ld7iOjespZjVwh47BIZFYTkeUD9h04uie2bghqrfShX
server.confファイルを編集して、graylog構成を開始します。
sudo nano /etc/graylog/server/server.conf
以下のように秘密を置いてください。
password_secret = OH9wXpsNZVBA8R5vJQSnkhTB1qDOjCxAh3aE3LvXddtfDlZlKYEyGS24BJAiIxI0sbSTSPovTTnhLkkrUvhSSxodTlzDi5gP
Graylogのrootユーザーのハッシュ(sha256)パスワードを設定します(graylogのrootユーザーはadminです)。
Graylog管理者のパスワードは、Webインターフェイスを使用して変更することはできません。したがって、設定ファイルを編集して設定する必要があります。あなたのパスワードをあなたの選択したものに置き換えてください。このパスワードでGraylogWebインターフェイスにログインする必要があります。
echo -n yourpassword | sha256sum
出力:
e3c652f0ba0b4801205814f8b6bc49672c4c74e25b497770bb89b22cdeb4e951
server.confをもう一度編集します。
sudo nano /etc/graylog/server/server.conf
ハッシュパスワードを入力します。
root_password_sha2 = e3c652f0ba0b4801205814f8b6bc49672c4c74e25b497770bb89b22cdeb4e951
GraylogWebインターフェイスをインストールする
server.confファイルを編集します。
sudo nano /etc/graylog/server/server.conf
以下のエントリを変更して、GraylogWebインターフェイスを有効にします。 192.168.0.10をシステムのIPアドレスに置き換えます。
http_bind_address = 192.168.0.10:9000NATが原因でパブリックIPアドレスを使用してGraylogにアクセスした場合は、以下の値を更新してください。それ以外の場合はスキップします。
http_external_uri = http://public_ip:9000/
Graylogサービスを再起動します。
sudo systemctl start graylog-server
システムの起動時にGraylogサーバーが自動的に起動するようにします。
sudo systemctl enable graylog-server
サーバーの起動ログを確認して、問題が発生した場合のグレイログのトラブルシューティングを行ってください。
sudo tail -f /var/log/graylog-server/server.log
Graylogサーバーが正常に起動すると、ログファイルに次のメッセージが表示されます。
2020-03-29T23:27:14.057-05:00 INFO [ServerBootstrap] Graylog server up and running.
GraylogWebインターフェースにアクセス
これで、Graylog Webインターフェイスがポート9000で使用できるようになります。したがって、ブラウザでを指定します。
http://ip.add.re.ss:9000ユーザー名adminとserver.confで設定したパスワードでログインします。
ログインすると、Graylogのスタートページが表示されます。
システムをクリックします>>概要 グレイログサーバーのステータスを確認します。
結論
それで全部です。 Debian 10 / Debian 9にGraylogをインストールする方法を学んだことを願っています。他のマシンからログを受信するには、Graylog入力を構成し、Graylogにログを送信するようにLinuxマシンを構成する必要があります。