Ինչպես տեղադրել Graylog-ը AlmaLinux 9-ում


Այս էջում

  1. Նախադրյալներ
  2. Պահեստների տեղադրում
  3. Կախվածությունների տեղադրում
  4. Opensearch-ի կարգավորում
  5. Graylog սերվերի տեղադրում և կարգավորում
  6. Firewalld-ի և SELinux-ի կարգավորում
  7. Մուտք գործելով Graylog սերվեր
  8. Ստեղծեք առաջին Graylog մուտքագրումը
  9. Մատյան ուղարկելը Graylog-ին Rsyslog-ի միջոցով
  10. Եզրակացություն

Graylog-ը անվճար և բաց կոդով տեղեկամատյանների կառավարման հարթակ է՝ ձեր տվյալների և տեղեկամատյանների իրական ժամանակում վերլուծելու, հավաքելու, պահելու և հնարավորություն տալու համար: Այն գրված է Java-ով և կառուցված է բաց կոդով այլ ծրագրերի վրա, ինչպիսիք են MongoDB-ն և Elasticsearch-ը: Graylog-ն ապահովում է ամենաարդյունավետ, արագ և ճկուն կենտրոնացված տեղեկամատյանների կառավարման հարթակներից մեկը: Graylog-ի միջոցով դուք կարող եք ուղարկել և վերլուծել ինչպես կառուցվածքային, այնպես էլ չկառուցված տվյալներ գրեթե ցանկացած տվյալների աղբյուրից:

Այս ուղեցույցում մենք կանդրադառնանք AlmaLinux 9 սերվերի վրա Graylog-ի տեղադրմանը որպես կենտրոնացված մատյանների կառավարման համակարգ: Դուք կտեղադրեք Graylog սերվերը, այնուհետև մուտքեր կստեղծեք հաճախորդների համար՝ Graylog սերվերին տեղեկամատյաններ ուղարկելու համար:

Նախադրյալներ

Որպեսզի լրացնեք այս ուղեցույցը, համոզվեք, որ ունեք հետևյալը.

  • AlmaLinux 9 սերվեր՝ առնվազն 4 ԳԲ հիշողությամբ. Այս դեպքում մենք կօգտագործենք AlmaLinux սերվեր՝ 8 ԳԲ հիշողությամբ և IP հասցեով 192.168.10.20:
  • Ոչ արմատական օգտվող, ադմինիստրատորի արտոնություններով:

Պահեստների տեղադրում

Այս ուղեցույցը սկսելու համար դուք կավելացնեք նոր պահոցներ ձեր AlmaLinux 9 մեքենային: Ձեր համակարգում կավելացնեք MongoDB 6.x, Opensearch 2.x և Graylog 5.x-ի պահոցը:

Նախ, կատարեք ստորև բերված dnf հրամանը՝ curl-ը ձեր համակարգում տեղադրելու համար:

sudo dnf install curl -y

Այժմ պատճենեք և գործարկեք հետևյալ հրամանը՝ MongoDB պահոցն ավելացնելու համար։ Graylog սերվերը պահանջում էր առնվազն MongoDB v6.x:

cat <<EOF | sudo tee /etc/yum.repos.d/mongodb-org-6.repo
[mongodb-org-6.0]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/9/mongodb-org/6.0/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-6.0.asc
EOF

Հաջորդը, գործարկեք հետևյալ հրամանը՝ Opensearch-ի պահոցն ավելացնելու համար: Opensearch-ը Elasticsearch-ի այլընտրանքն է, որը խորհուրդ է տրվում օգտագործել նոր Graylog տարբերակում: Այս դեպքում մենք կօգտագործենք Opensearch v2.x-ը:

sudo curl -SL https://artifacts.opensearch.org/releases/bundle/opensearch/2.x/opensearch-2.x.repo -o /etc/yum.repos.d/opensearch-2.x.repo

Այժմ գործարկեք ստորև նշված հրամանը՝ Graylog պահեստը ձեր համակարգին ավելացնելու համար: Այս գրելու պահին Graylog սերվերի վերջին տարբերակը v5.1 է:

sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-5.1-repository_latest.rpm

Վերջապես, կատարեք ստորև բերված dnf հրամանը՝ ձեր AlmaLinux սերվերում առկա պահեստները ստուգելու համար:

sudo dnf repolist

Հաջողության դեպքում դուք պետք է տեսնեք MongoDB 6.x-ի, Opensearch 2.x-ի և Graylog սերվերի պահոցը:

Կախվածությունների տեղադրում

Պահեստներ ավելացնելուց հետո դուք կտեղադրեք MongoDB 6.x և Opensearch 2.x DNF փաթեթների կառավարչի միջոցով: MongoDB-ն կօգտագործվի լարային տվյալների համար, իսկ Opensearch-ը կլինի հիմնական որոնողական համակարգը Graylog սերվերի համար:

Կատարեք ստորև բերված dnf հրամանը՝ MongoDB-ն և Opensearch-ը տեղադրելու համար: Մուտքագրեք y, երբ պահանջվում է հաստատել, ապա սեղմեք ENTER:

sudo dnf install mongodb-org opensearch

Երբ MongoDB-ն և Opensearch-ը տեղադրվեն, գործարկեք systemctl հրամանը՝ վերբեռնելու systemd կառավարիչը:

sudo systemctl daemon-reload

Այնուհետև սկսեք և միացրեք MongoDB ծառայությունը՝ օգտագործելով ստորև նշված հրամանը:

sudo systemctl start mongod
sudo systemctl enable mongod

Սկսեք և միացրեք Opensearch ծառայությունը՝ օգտագործելով ստորև նշված հրամանը:

sudo systemctl start opensearch
sudo systemctl enable opensearch

Ի վերջո, գործարկեք ստորև նշված հրամանը՝ ստուգելու MongoDB և Opensearch ծառայության կարգավիճակը: Եթե աշխատում է, ծառայության կարգավիճակը պետք է լինի ակտիվ (աշխատող):

sudo systemctl status mongod
sudo systemctl status opensearch

MongoDB ծառայության կարգավիճակի ստուգում:

Opensearch ծառայության կարգավիճակի ստուգում:

Opensearch-ի կարգավորում

Graylog-ի տեղակայման համար խորհուրդ է տրվում օգտագործել Opensearch-ը որպես կանխադրված որոնման համակարգ: Opensearch-ի այլընտրանքը Elasticsearch-ն է, բայց աջակցում է միայն Elasticsearch v7.x-ին: Հետևյալ բաժնում դուք կստեղծեք Opensearch-ը որպես ձեր Graylog սերվերի լռելյայն որոնման համակարգ:

Նախ, բացեք կանխադրված Opensearch կոնֆիգուրացիան /etc/opensearch/opensearch.yml՝ օգտագործելով հետևյալ նանո խմբագրիչի հրամանը:

sudo nano /etc/opensearch/opensearch.yml

Ապամեկնաբանեք cluster.name պարամետրը և մուտքագրեք ձեր Opensearch կլաստերի անունը, node.name և մուտքագրեք ձեր համակարգի հոսթի անունը, այնուհետև network.host > և մուտքագրեք ձեր ներքին IP հասցեն: Այս դեպքում կլաստերի անունը կլինի graylog՝ հոսթի անունով graylog-alma և IP հասցեով 192.168.10.20 (սա աշխատում է տեղական ցանցում։ )

cluster.name: graylog
node.name: graylog-alma
network.host: 0.0.0.0

Ավելացրեք հետևյալ տողերը՝ Opensearch-ը որպես մեկ հանգույց/սերվեր կարգավորելու համար, անջատեք auto_create_index և անվտանգության հավելումը (միայն փորձարկման նպատակով):

discovery.type: single-node
action.auto_create_index: false
plugins.security.disabled: true

Պահպանեք ֆայլը և ավարտին հասցրեք խմբագրիչը:

Այժմ բացեք /etc/opensearch/jvm.options ֆայլը՝ օգտագործելով նանո խմբագրիչը՝ Opensearch ծառայության համար առավելագույն հիշողության բաշխումը կարգավորելու համար:

sudo nano /etc/opensearch/jvm.options

Փոխեք կանխադրված հիշողության բաշխումը ձեր Opensearch տեղադրման համար: Այս դեպքում Opensearch-ը պետք է աշխատի առավելագույնը 2 ԳԲ հիշողությամբ:

-Xms2g
-Xmx2g

Պահպանեք ֆայլը և ավարտից հետո դուրս եկեք խմբագրիչից:

Հաջորդը, բացեք ֆայլը /usr/lib/tmpfiles.d/opensearch.conf՝ օգտագործելով հետևյալ նանո խմբագրիչի հրամանը:

sudo nano /usr/lib/tmpfiles.d/opensearch.conf

Փոխեք կանխադրված ուղին /var/run/opensearch-ից դեպի /run/opensearch: Այս գրացուցակը կօգտագործվի Opensearch-ի հետ կապված լրացուցիչ ֆայլեր պահելու համար և ավտոմատ կերպով կստեղծվի այս կազմաձևման միջոցով:

/run/opensearch

Ավարտելուց հետո պահեք և փակեք ֆայլը:

Դրանից հետո գործարկեք հետևյալ հրամանը՝ vm.max_map_count-ը դարձնելու 262144: Սա պահանջում է Opensearch-ը, և այն մշտական դարձնելու համար դուք կավելացնեք նոր պարամետր /etc/sysctl.conf ֆայլում:

sudo sysctl -w vm.max_map_count=262144
sudo echo 'vm.max_map_count=262144' >> /etc/sysctl.conf

Այժմ գործարկեք ներքևում գտնվող systemctl հրամանը՝ Opensearch ծառայությունը վերագործարկելու և ձեր կատարած փոփոխությունները կիրառելու համար:

sudo systemctl restart opensearch

Opensearch-ը պետք է աշխատի ձեր սերվերի տեղական IP հասցեով, և այս դեպքում այն աշխատում է 192.168.10.20-ում` լռելյայն 9200 միացքով:

Կատարեք ներքևի curl հրամանը՝ ձեր Opensearch տեղադրումը մուտք գործելու համար:

curl 192.168.10.20:9200

Եթե Opensearch-ի կոնֆիգուրացիան հաջող է, դուք պետք է տեսնեք ձեր Opensearch-ի տեղադրման մասին մանրամասն տեղեկատվությունը հետևյալ կերպ.

Այս պահին Opensearch-ը և MongoDB-ն պատրաստ են: Հաջորդ բաժնում դուք կսկսեք Graylog սերվերի տեղադրումը և կազմաձևումը:

Graylog սերվերի տեղադրում և կարգավորում

Այս բաժնում դուք կտեղադրեք Graylog սերվերը v5.x ձեր AlmaLinux 9 սարքի վրա և կարգավորեք Graylog-ը որպես կենտրոնացված գրանցամատյանների կառավարում ձեր ենթակառուցվածքի համար:

Graylog-server փաթեթը տեղադրելու համար կատարեք ստորև բերված dnf հրամանը: Մուտքագրեք y՝ տեղադրումը հաստատելու համար և սեղմեք ENTER՝ շարունակելու համար:

sudo dnf install graylog-server

Կրկին մուտքագրեք Graylog պահեստի GPG բանալին ավելացնելու համար:

Երբ Graylog սերվերը տեղադրվի, կատարեք հետևյալ հրամանը՝ Graylog սերվերի համար password_secret ստեղծելու համար: Պատճենեք ձեր ստեղծած պատահական տողը:

< /dev/urandom tr -dc A-Z-a-z-0-9 | head -c${1:-96};echo;

Այժմ գործարկեք հետևյալ հրամանը՝ ձեր մոխրագույն սերվերի համար root_password_sha2 ստեղծելու համար: Այս գաղտնաբառը կօգտագործվի Graylog-ի կառավարման վահանակ մուտք գործելու համար:

echo -n "Enter Password: " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1

Մուտքագրեք ձեր գաղտնաբառը և պատճենեք ստեղծված հեշ գաղտնաբառը:

Ստորև բերված օրինակում JmGGtkruJ80LjnQBnz8QZ0gHjKpBZwWmH7JF0ZBa9iBS999bTlQfViaQj7jAH-XgIVcdVcDVYyy3x5Dh7fEXCPhbrSUXX1G18-ը գաղտնիք է 047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8-ը ձեր Graylog-ի համար ստեղծված root_password_sha2 գաղտնաբառը է սերվեր.

Հաջորդը, բացեք Graylog կոնֆիգուրացիան /etc/graylog/server/server.conf՝ օգտագործելով նանո խմբագրիչը:

sudo nano /etc/graylog/server/server.conf

Մուտքագրեք ստեղծված գաղտնաբառի գաղտնիքը password_secret պարամետրում և փոխեք լռելյայն root_password_sha2 ձեր ստեղծած նոր գաղտնաբառով:

password_secret = R8zwuO2NDewUcwRFQ0QDm07tn6AppmwThty0aagxOoqMDWNqPJLwrffpz7DdQyQVY1uHq54QwgYMNkZnBLuXQf3B1giq5RKX
...
root_password_sha2 = a7fdfe53e2a13cb602def10146388c65051c67e60ee55c051668a1c709449111

Ապամեկնաբանեք http_bind_address պարամետրը և փոխեք IP հասցեն ձեր ներքին IP հասցեով, որին հաջորդում է լռելյայն Graylog սերվերի պորտը 9000:

http_bind_address = 192.168.10.20:9000

Պահպանեք ֆայլը և փակեք խմբագրիչը:

Այժմ գործարկեք systemctl հրամանը ստորև՝ systemd կառավարիչը վերաբեռնելու համար:

sudo systemctl daemon-reload

Այնուհետև սկսեք և միացրեք Graylog սերվերը՝ օգտագործելով ստորև նշված հրամանը:

sudo systemctl start graylog-server
sudo systemctl enable graylog-server

Վերջապես, ստուգեք Graylog սերվերի կարգավիճակը՝ օգտագործելով հետևյալ հրամանը. Եթե Graylog-ը աշխատում է, դուք պետք է ստանաք ելք ակտիվ (աշխատող) ձեր տերմինալում:

sudo systemctl status graylog-server

Ավելին, դուք կարող եք նաև ստուգել Graylog սերվերը՝ ստուգելով ձեր համակարգի բաց նավահանգիստների ցանկը՝ օգտագործելով ստորև բերված ss հրամանը:

ss -tulpn | grep 9000

Եթե հաջողվի, դուք պետք է տեսնեք, որ Graylog սերվերն օգտագործում է այդ պորտը 9000:

Firewalld-ի և SELinux-ի կարգավորում

Graylog սերվերը տեղադրելուց և կազմաձևելուց հետո հաջորդ քայլը կլինի SELinux-ի և firewalld-ի կարգավորումը: Այս դեպքում, SELinux-ն աշխատում է հարկադիր ռեժիմով, իսկ firewall-ը աշխատում է:

Գործարկեք ստորև բերված dnf հրամանը՝ SELinux կառավարման գործիքները ձեր AlmaLinux սերվերում տեղադրելու համար: Մուտքագրեք y, երբ ձեզ հուշում են, ապա սեղմեք ENTER՝ շարունակելու համար:

sudo dnf install policycoreutils policycoreutils-python-utils

Այժմ գործարկեք հետևյալ հրամանը՝ SELinux-ի որոշ քաղաքականություններ ավելացնելու և որոշ ծառայությունների համար նավահանգիստներ թույլատրելու համար, ինչպիսիք են Graylog սերվերի պորտը 9000, MongoDB պորտը 27017 և Opensearch պորտը 9200:

sudo setsebool -P httpd_can_network_connect 1
sudo semanage port -a -t http_port_t -p tcp 9000
sudo semanage port -a -t http_port_t -p tcp 9200
sudo semanage port -a -t mongod_port_t -p tcp 27017

Հաջորդը, գործարկեք ներքևում գտնվող firewall-cmd հրամանը՝ Graylog սերվերի պորտը 9000 ավելացնելու համար firewall-ին և վերաբեռնեք firewall-ը՝ փոփոխությունները կիրառելու համար:

sudo firewall-cmd --add-port=9000/tcp --permanent
sudo firewall-cmd --reload

Ի վերջո, գործարկեք հետևյալ հրամանը՝ ստուգելու ձեր համակարգի firewall կանոնների ցանկը: Համոզվեք, որ 9000 պորտը հասանելի է ձեր firewalld-ում:

sudo firewall-cmd --list-all

Մուտք գործելով Graylog սերվեր

Քանի որ դուք հաջողությամբ կարգավորել եք SELinux-ը և firewalld-ը, այժմ կարող եք մուտք գործել ձեր Graylog սերվերի տեղադրումը:

Գործարկեք ձեր նախընտրած վեբ զննարկիչը և այցելեք ձեր AlmaLinux սերվերի IP հասցեն, որին հաջորդում է 9000 նավահանգիստը (այսինքն՝ http://192.168.10.20:9000/): Եթե graylog-ի տեղադրումը հաջող է, դուք պետք է տեսնեք Graylog մուտքի էջը հետևյալի նման:

Մուտք գործեք կանխադրված ադմինիստրատորի և ձեր ստեղծած գաղտնաբառով (root_password_sha2 գաղտնաբառը):

Եթե ունեք ճիշտ օգտվող և գաղտնաբառ, ձեր դիտարկիչում կցուցադրվի Graylog կառավարման վահանակը:

Ստեղծեք առաջին Graylog մուտքագրումը

Graylog սերվեր մուտք գործելուց հետո առաջին բանը, որ դուք պետք է անեք, նոր մուտքեր ստեղծելն է, որոնք կօգտագործվեն որպես թիրախային մոնիտորինգի համակարգից որպես գրանցամատյանների ստացող: Գոյություն ունեն Graylog մուտքերի երկու տեսակ՝ Լսողի մուտքեր և Փուլ մուտքեր:

Լսողների մուտքագրման օրինակներ են Syslog TCP/UDP, Beats TCP, GELF TCP, CEF TCP և Netflow TCP: Pull մուտքագրումների որոշ օրինակներ են՝ CEF AMQP և Kafka, Raw/Plaintext AMQP և Kafka, և Syslog AMQP և Kafka:

Հաջորդ բաժնում դուք կստեղծեք առաջին Graylog մուտքագրումը Syslog UDP-ի միջոցով:

Սեղմեք Համակարգ ցանկի վրա և ընտրեք Մուտքագրումներ:

Բացվող ընտրացանկից ընտրեք մուտքագրման տեսակը, որը ցանկանում եք ստեղծել և սեղմեք Գործարկել նոր մուտքագրումը: Այս դեպքում մենք կստեղծենք մուտքագրման տեսակ Syslog UDP:

Մուտքագրեք մուտքագրման անունը, ներքին IP հասցեն և նավահանգիստը, որտեղ կգործարկվի նոր մուտքագրումը: Այս դեպքում մենք կստեղծենք Syslog UDP մուտքագրում graylog-alma, որը կաշխատի ներքին IP հասցեով 0.0.0.0՝ 5142 պորտով: .

Հաջորդը, ոլորեք ներքև դեպի ներքևի էջ և կտեսնեք նոր մուտքագրում graylog-alma աշխատող կարգավիճակով:

Վերջապես, վերադարձեք տերմինալային սերվեր և կատարեք ներքևում գտնվող firewall-cmd հրամանը՝ 5142 նավահանգիստը բացելու համար, որը կօգտագործվի graylog-alma մուտքագրման միջոցով:

sudo firewall-cmd --add-port=5142/udp --permanent
sudo firewall-cmd --reload

Ստուգեք բաց նավահանգիստների ցանկը firewalld-ի վրա՝ օգտագործելով հետևյալ հրամանը. Համոզվեք, որ 5142 նավահանգիստը հասանելի է firewall-ում:

sudo firewall-cmd --list-all

Մատյան ուղարկելը Graylog-ին Rsyslog-ի միջոցով

Graylog սերվերի վրա Syslog UDP մուտքագրումը ստեղծելուց հետո այժմ կարող եք տեղեկամատյանների հաղորդագրություններ ուղարկել Graylog սերվերին: Հետևյալ բաժնում դուք Linux սարքից տեղեկամատյաններ կուղարկեք Graylog սերվեր՝ օգտագործելով Rsyslog:

Ստեղծեք նոր լրացուցիչ rsyslog կոնֆիգուրացիա /etc/rsyslog.d/graylog.conf՝ օգտագործելով հետևյալ նանո խմբագրիչի հրամանը:

sudo nano /etc/rsyslog.d/graylog.conf

Տեղադրեք հետևյալ կոնֆիգուրացիան և համոզվեք, որ փոխեք IP հասցեն և նավահանգիստը՝ մուտքագրված graylog-alma մանրամասներով:

*.*@192.168.10.20:5142;RSYSLOG_SyslogProtocol23Format

Ավարտելուց հետո պահպանեք և դուրս եկեք ֆայլից:

Այժմ գործարկեք systemctl հրամանը՝ Rsyslog ծառայությունը վերագործարկելու և փոփոխությունները կիրառելու համար: Rsyslog-ը վերագործարկվելուց հետո թիրախային մեքենան տեղեկամատյանները կուղարկի Graylog սերվերին syslog արձանագրության միջոցով մուտքագրված graylog-alma:

sudo systemctl restart rsyslog

Հաջորդը, վերադարձեք Graylog-ի կառավարման վահանակ և կտտացրեք «Հոսք» ընտրացանկը: Եթե ձեր տեղադրումը հաջող է, դուք պետք է տեսնեք թիրախային մեքենայի մանրամասների տեղեկամատյանները, որոնք հասանելի են Graylog սերվերում:

Եզրակացություն

Շնորհավորում ենք, դուք ավարտել եք Graylog-ի տեղադրումը որպես գրանցամատյանների կառավարման կենտրոնացված համակարգ ձեր AlmaLinux 9 համակարգում: Դուք տեղադրել եք Graylog-ը MongoDB-ի և Opensearch-ի հետ, ինչպես նաև կարգավորել եք առաջին Graylog մուտքագրումը Syslog UDP-ի միջոցով: Այժմ դուք կարող եք ուսումնասիրել տարբեր տեսակի Graylog մուտքագրումներ կամ սահմանել Graylog-ի տեղակայման լծակներ մի քանի սերվերների միջոցով: