Ինչպես տեղադրել Graylog-ը AlmaLinux 9-ում
Այս էջում
- Նախադրյալներ
- Պահեստների տեղադրում
- Կախվածությունների տեղադրում
- Opensearch-ի կարգավորում
- Graylog սերվերի տեղադրում և կարգավորում
- Firewalld-ի և SELinux-ի կարգավորում
- Մուտք գործելով Graylog սերվեր
- Ստեղծեք առաջին Graylog մուտքագրումը
- Մատյան ուղարկելը Graylog-ին Rsyslog-ի միջոցով
- Եզրակացություն
Graylog-ը անվճար և բաց կոդով տեղեկամատյանների կառավարման հարթակ է՝ ձեր տվյալների և տեղեկամատյանների իրական ժամանակում վերլուծելու, հավաքելու, պահելու և հնարավորություն տալու համար: Այն գրված է Java-ով և կառուցված է բաց կոդով այլ ծրագրերի վրա, ինչպիսիք են MongoDB-ն և Elasticsearch-ը: Graylog-ն ապահովում է ամենաարդյունավետ, արագ և ճկուն կենտրոնացված տեղեկամատյանների կառավարման հարթակներից մեկը: Graylog-ի միջոցով դուք կարող եք ուղարկել և վերլուծել ինչպես կառուցվածքային, այնպես էլ չկառուցված տվյալներ գրեթե ցանկացած տվյալների աղբյուրից:
Այս ուղեցույցում մենք կանդրադառնանք AlmaLinux 9 սերվերի վրա Graylog-ի տեղադրմանը որպես կենտրոնացված մատյանների կառավարման համակարգ: Դուք կտեղադրեք Graylog սերվերը, այնուհետև մուտքեր կստեղծեք հաճախորդների համար՝ Graylog սերվերին տեղեկամատյաններ ուղարկելու համար:
Նախադրյալներ
Որպեսզի լրացնեք այս ուղեցույցը, համոզվեք, որ ունեք հետևյալը.
- AlmaLinux 9 սերվեր՝ առնվազն 4 ԳԲ հիշողությամբ. Այս դեպքում մենք կօգտագործենք AlmaLinux սերվեր՝ 8 ԳԲ հիշողությամբ և IP հասցեով 192.168.10.20:
- Ոչ արմատական օգտվող, ադմինիստրատորի արտոնություններով:
Պահեստների տեղադրում
Այս ուղեցույցը սկսելու համար դուք կավելացնեք նոր պահոցներ ձեր AlmaLinux 9 մեքենային: Ձեր համակարգում կավելացնեք MongoDB 6.x, Opensearch 2.x և Graylog 5.x-ի պահոցը:
Նախ, կատարեք ստորև բերված dnf հրամանը՝ curl-ը ձեր համակարգում տեղադրելու համար:
sudo dnf install curl -y
Այժմ պատճենեք և գործարկեք հետևյալ հրամանը՝ MongoDB պահոցն ավելացնելու համար։ Graylog սերվերը պահանջում էր առնվազն MongoDB v6.x:
cat <<EOF | sudo tee /etc/yum.repos.d/mongodb-org-6.repo
[mongodb-org-6.0]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/9/mongodb-org/6.0/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-6.0.asc
EOF
Հաջորդը, գործարկեք հետևյալ հրամանը՝ Opensearch-ի պահոցն ավելացնելու համար: Opensearch-ը Elasticsearch-ի այլընտրանքն է, որը խորհուրդ է տրվում օգտագործել նոր Graylog տարբերակում: Այս դեպքում մենք կօգտագործենք Opensearch v2.x-ը:
sudo curl -SL https://artifacts.opensearch.org/releases/bundle/opensearch/2.x/opensearch-2.x.repo -o /etc/yum.repos.d/opensearch-2.x.repo
Այժմ գործարկեք ստորև նշված հրամանը՝ Graylog պահեստը ձեր համակարգին ավելացնելու համար: Այս գրելու պահին Graylog սերվերի վերջին տարբերակը v5.1 է:
sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-5.1-repository_latest.rpm
Վերջապես, կատարեք ստորև բերված dnf հրամանը՝ ձեր AlmaLinux սերվերում առկա պահեստները ստուգելու համար:
sudo dnf repolist
Հաջողության դեպքում դուք պետք է տեսնեք MongoDB 6.x-ի, Opensearch 2.x-ի և Graylog սերվերի պահոցը:
Կախվածությունների տեղադրում
Պահեստներ ավելացնելուց հետո դուք կտեղադրեք MongoDB 6.x և Opensearch 2.x DNF փաթեթների կառավարչի միջոցով: MongoDB-ն կօգտագործվի լարային տվյալների համար, իսկ Opensearch-ը կլինի հիմնական որոնողական համակարգը Graylog սերվերի համար:
Կատարեք ստորև բերված dnf հրամանը՝ MongoDB-ն և Opensearch-ը տեղադրելու համար: Մուտքագրեք y, երբ պահանջվում է հաստատել, ապա սեղմեք ENTER:
sudo dnf install mongodb-org opensearch
Երբ MongoDB-ն և Opensearch-ը տեղադրվեն, գործարկեք systemctl հրամանը՝ վերբեռնելու systemd կառավարիչը:
sudo systemctl daemon-reload
Այնուհետև սկսեք և միացրեք MongoDB ծառայությունը՝ օգտագործելով ստորև նշված հրամանը:
sudo systemctl start mongod
sudo systemctl enable mongod
Սկսեք և միացրեք Opensearch ծառայությունը՝ օգտագործելով ստորև նշված հրամանը:
sudo systemctl start opensearch
sudo systemctl enable opensearch
Ի վերջո, գործարկեք ստորև նշված հրամանը՝ ստուգելու MongoDB և Opensearch ծառայության կարգավիճակը: Եթե աշխատում է, ծառայության կարգավիճակը պետք է լինի ակտիվ (աշխատող):
sudo systemctl status mongod
sudo systemctl status opensearch
MongoDB ծառայության կարգավիճակի ստուգում:
Opensearch ծառայության կարգավիճակի ստուգում:
Opensearch-ի կարգավորում
Graylog-ի տեղակայման համար խորհուրդ է տրվում օգտագործել Opensearch-ը որպես կանխադրված որոնման համակարգ: Opensearch-ի այլընտրանքը Elasticsearch-ն է, բայց աջակցում է միայն Elasticsearch v7.x-ին: Հետևյալ բաժնում դուք կստեղծեք Opensearch-ը որպես ձեր Graylog սերվերի լռելյայն որոնման համակարգ:
Նախ, բացեք կանխադրված Opensearch կոնֆիգուրացիան /etc/opensearch/opensearch.yml՝ օգտագործելով հետևյալ նանո խմբագրիչի հրամանը:
sudo nano /etc/opensearch/opensearch.yml
Ապամեկնաբանեք cluster.name պարամետրը և մուտքագրեք ձեր Opensearch կլաստերի անունը, node.name և մուտքագրեք ձեր համակարգի հոսթի անունը, այնուհետև network.host > և մուտքագրեք ձեր ներքին IP հասցեն: Այս դեպքում կլաստերի անունը կլինի graylog՝ հոսթի անունով graylog-alma և IP հասցեով 192.168.10.20 (սա աշխատում է տեղական ցանցում։ )
cluster.name: graylog
node.name: graylog-alma
network.host: 0.0.0.0
Ավելացրեք հետևյալ տողերը՝ Opensearch-ը որպես մեկ հանգույց/սերվեր կարգավորելու համար, անջատեք auto_create_index և անվտանգության հավելումը (միայն փորձարկման նպատակով):
discovery.type: single-node
action.auto_create_index: false
plugins.security.disabled: true
Պահպանեք ֆայլը և ավարտին հասցրեք խմբագրիչը:
Այժմ բացեք /etc/opensearch/jvm.options ֆայլը՝ օգտագործելով նանո խմբագրիչը՝ Opensearch ծառայության համար առավելագույն հիշողության բաշխումը կարգավորելու համար:
sudo nano /etc/opensearch/jvm.options
Փոխեք կանխադրված հիշողության բաշխումը ձեր Opensearch տեղադրման համար: Այս դեպքում Opensearch-ը պետք է աշխատի առավելագույնը 2 ԳԲ հիշողությամբ:
-Xms2g
-Xmx2g
Պահպանեք ֆայլը և ավարտից հետո դուրս եկեք խմբագրիչից:
Հաջորդը, բացեք ֆայլը /usr/lib/tmpfiles.d/opensearch.conf՝ օգտագործելով հետևյալ նանո խմբագրիչի հրամանը:
sudo nano /usr/lib/tmpfiles.d/opensearch.conf
Փոխեք կանխադրված ուղին /var/run/opensearch-ից դեպի /run/opensearch: Այս գրացուցակը կօգտագործվի Opensearch-ի հետ կապված լրացուցիչ ֆայլեր պահելու համար և ավտոմատ կերպով կստեղծվի այս կազմաձևման միջոցով:
/run/opensearch
Ավարտելուց հետո պահեք և փակեք ֆայլը:
Դրանից հետո գործարկեք հետևյալ հրամանը՝ vm.max_map_count-ը դարձնելու 262144: Սա պահանջում է Opensearch-ը, և այն մշտական դարձնելու համար դուք կավելացնեք նոր պարամետր /etc/sysctl.conf ֆայլում:
sudo sysctl -w vm.max_map_count=262144
sudo echo 'vm.max_map_count=262144' >> /etc/sysctl.conf
Այժմ գործարկեք ներքևում գտնվող systemctl հրամանը՝ Opensearch ծառայությունը վերագործարկելու և ձեր կատարած փոփոխությունները կիրառելու համար:
sudo systemctl restart opensearch
Opensearch-ը պետք է աշխատի ձեր սերվերի տեղական IP հասցեով, և այս դեպքում այն աշխատում է 192.168.10.20-ում` լռելյայն 9200 միացքով:
Կատարեք ներքևի curl հրամանը՝ ձեր Opensearch տեղադրումը մուտք գործելու համար:
curl 192.168.10.20:9200
Եթե Opensearch-ի կոնֆիգուրացիան հաջող է, դուք պետք է տեսնեք ձեր Opensearch-ի տեղադրման մասին մանրամասն տեղեկատվությունը հետևյալ կերպ.
Այս պահին Opensearch-ը և MongoDB-ն պատրաստ են: Հաջորդ բաժնում դուք կսկսեք Graylog սերվերի տեղադրումը և կազմաձևումը:
Graylog սերվերի տեղադրում և կարգավորում
Այս բաժնում դուք կտեղադրեք Graylog սերվերը v5.x ձեր AlmaLinux 9 սարքի վրա և կարգավորեք Graylog-ը որպես կենտրոնացված գրանցամատյանների կառավարում ձեր ենթակառուցվածքի համար:
Graylog-server փաթեթը տեղադրելու համար կատարեք ստորև բերված dnf հրամանը: Մուտքագրեք y՝ տեղադրումը հաստատելու համար և սեղմեք ENTER՝ շարունակելու համար:
sudo dnf install graylog-server
Կրկին մուտքագրեք Graylog պահեստի GPG բանալին ավելացնելու համար:
Երբ Graylog սերվերը տեղադրվի, կատարեք հետևյալ հրամանը՝ Graylog սերվերի համար password_secret ստեղծելու համար: Պատճենեք ձեր ստեղծած պատահական տողը:
< /dev/urandom tr -dc A-Z-a-z-0-9 | head -c${1:-96};echo;
Այժմ գործարկեք հետևյալ հրամանը՝ ձեր մոխրագույն սերվերի համար root_password_sha2 ստեղծելու համար: Այս գաղտնաբառը կօգտագործվի Graylog-ի կառավարման վահանակ մուտք գործելու համար:
echo -n "Enter Password: " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1
Մուտքագրեք ձեր գաղտնաբառը և պատճենեք ստեղծված հեշ գաղտնաբառը:
Ստորև բերված օրինակում JmGGtkruJ80LjnQBnz8QZ0gHjKpBZwWmH7JF0ZBa9iBS999bTlQfViaQj7jAH-XgIVcdVcDVYyy3x5Dh7fEXCPhbrSUXX1G18-ը գաղտնիք է 047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8-ը ձեր Graylog-ի համար ստեղծված root_password_sha2 գաղտնաբառը է սերվեր.
Հաջորդը, բացեք Graylog կոնֆիգուրացիան /etc/graylog/server/server.conf՝ օգտագործելով նանո խմբագրիչը:
sudo nano /etc/graylog/server/server.conf
Մուտքագրեք ստեղծված գաղտնաբառի գաղտնիքը password_secret պարամետրում և փոխեք լռելյայն root_password_sha2 ձեր ստեղծած նոր գաղտնաբառով:
password_secret = R8zwuO2NDewUcwRFQ0QDm07tn6AppmwThty0aagxOoqMDWNqPJLwrffpz7DdQyQVY1uHq54QwgYMNkZnBLuXQf3B1giq5RKX
...
root_password_sha2 = a7fdfe53e2a13cb602def10146388c65051c67e60ee55c051668a1c709449111
Ապամեկնաբանեք http_bind_address պարամետրը և փոխեք IP հասցեն ձեր ներքին IP հասցեով, որին հաջորդում է լռելյայն Graylog սերվերի պորտը 9000:
http_bind_address = 192.168.10.20:9000
Պահպանեք ֆայլը և փակեք խմբագրիչը:
Այժմ գործարկեք systemctl հրամանը ստորև՝ systemd կառավարիչը վերաբեռնելու համար:
sudo systemctl daemon-reload
Այնուհետև սկսեք և միացրեք Graylog սերվերը՝ օգտագործելով ստորև նշված հրամանը:
sudo systemctl start graylog-server
sudo systemctl enable graylog-server
Վերջապես, ստուգեք Graylog սերվերի կարգավիճակը՝ օգտագործելով հետևյալ հրամանը. Եթե Graylog-ը աշխատում է, դուք պետք է ստանաք ելք ակտիվ (աշխատող) ձեր տերմինալում:
sudo systemctl status graylog-server
Ավելին, դուք կարող եք նաև ստուգել Graylog սերվերը՝ ստուգելով ձեր համակարգի բաց նավահանգիստների ցանկը՝ օգտագործելով ստորև բերված ss հրամանը:
ss -tulpn | grep 9000
Եթե հաջողվի, դուք պետք է տեսնեք, որ Graylog սերվերն օգտագործում է այդ պորտը 9000:
Firewalld-ի և SELinux-ի կարգավորում
Graylog սերվերը տեղադրելուց և կազմաձևելուց հետո հաջորդ քայլը կլինի SELinux-ի և firewalld-ի կարգավորումը: Այս դեպքում, SELinux-ն աշխատում է հարկադիր ռեժիմով, իսկ firewall-ը աշխատում է:
Գործարկեք ստորև բերված dnf հրամանը՝ SELinux կառավարման գործիքները ձեր AlmaLinux սերվերում տեղադրելու համար: Մուտքագրեք y, երբ ձեզ հուշում են, ապա սեղմեք ENTER՝ շարունակելու համար:
sudo dnf install policycoreutils policycoreutils-python-utils
Այժմ գործարկեք հետևյալ հրամանը՝ SELinux-ի որոշ քաղաքականություններ ավելացնելու և որոշ ծառայությունների համար նավահանգիստներ թույլատրելու համար, ինչպիսիք են Graylog սերվերի պորտը 9000, MongoDB պորտը 27017 և Opensearch պորտը 9200:
sudo setsebool -P httpd_can_network_connect 1
sudo semanage port -a -t http_port_t -p tcp 9000
sudo semanage port -a -t http_port_t -p tcp 9200
sudo semanage port -a -t mongod_port_t -p tcp 27017
Հաջորդը, գործարկեք ներքևում գտնվող firewall-cmd հրամանը՝ Graylog սերվերի պորտը 9000 ավելացնելու համար firewall-ին և վերաբեռնեք firewall-ը՝ փոփոխությունները կիրառելու համար:
sudo firewall-cmd --add-port=9000/tcp --permanent
sudo firewall-cmd --reload
Ի վերջո, գործարկեք հետևյալ հրամանը՝ ստուգելու ձեր համակարգի firewall կանոնների ցանկը: Համոզվեք, որ 9000 պորտը հասանելի է ձեր firewalld-ում:
sudo firewall-cmd --list-all
Մուտք գործելով Graylog սերվեր
Քանի որ դուք հաջողությամբ կարգավորել եք SELinux-ը և firewalld-ը, այժմ կարող եք մուտք գործել ձեր Graylog սերվերի տեղադրումը:
Գործարկեք ձեր նախընտրած վեբ զննարկիչը և այցելեք ձեր AlmaLinux սերվերի IP հասցեն, որին հաջորդում է 9000 նավահանգիստը (այսինքն՝ http://192.168.10.20:9000/): Եթե graylog-ի տեղադրումը հաջող է, դուք պետք է տեսնեք Graylog մուտքի էջը հետևյալի նման:
Մուտք գործեք կանխադրված ադմինիստրատորի և ձեր ստեղծած գաղտնաբառով (root_password_sha2 գաղտնաբառը):
Եթե ունեք ճիշտ օգտվող և գաղտնաբառ, ձեր դիտարկիչում կցուցադրվի Graylog կառավարման վահանակը:
Ստեղծեք առաջին Graylog մուտքագրումը
Graylog սերվեր մուտք գործելուց հետո առաջին բանը, որ դուք պետք է անեք, նոր մուտքեր ստեղծելն է, որոնք կօգտագործվեն որպես թիրախային մոնիտորինգի համակարգից որպես գրանցամատյանների ստացող: Գոյություն ունեն Graylog մուտքերի երկու տեսակ՝ Լսողի մուտքեր և Փուլ մուտքեր:
Լսողների մուտքագրման օրինակներ են Syslog TCP/UDP, Beats TCP, GELF TCP, CEF TCP և Netflow TCP: Pull մուտքագրումների որոշ օրինակներ են՝ CEF AMQP և Kafka, Raw/Plaintext AMQP և Kafka, և Syslog AMQP և Kafka:
Հաջորդ բաժնում դուք կստեղծեք առաջին Graylog մուտքագրումը Syslog UDP-ի միջոցով:
Սեղմեք Համակարգ ցանկի վրա և ընտրեք Մուտքագրումներ:
Բացվող ընտրացանկից ընտրեք մուտքագրման տեսակը, որը ցանկանում եք ստեղծել և սեղմեք Գործարկել նոր մուտքագրումը: Այս դեպքում մենք կստեղծենք մուտքագրման տեսակ Syslog UDP:
Մուտքագրեք մուտքագրման անունը, ներքին IP հասցեն և նավահանգիստը, որտեղ կգործարկվի նոր մուտքագրումը: Այս դեպքում մենք կստեղծենք Syslog UDP մուտքագրում graylog-alma, որը կաշխատի ներքին IP հասցեով 0.0.0.0՝ 5142 պորտով: .
Հաջորդը, ոլորեք ներքև դեպի ներքևի էջ և կտեսնեք նոր մուտքագրում graylog-alma աշխատող կարգավիճակով:
Վերջապես, վերադարձեք տերմինալային սերվեր և կատարեք ներքևում գտնվող firewall-cmd հրամանը՝ 5142 նավահանգիստը բացելու համար, որը կօգտագործվի graylog-alma մուտքագրման միջոցով:
sudo firewall-cmd --add-port=5142/udp --permanent
sudo firewall-cmd --reload
Ստուգեք բաց նավահանգիստների ցանկը firewalld-ի վրա՝ օգտագործելով հետևյալ հրամանը. Համոզվեք, որ 5142 նավահանգիստը հասանելի է firewall-ում:
sudo firewall-cmd --list-all
Մատյան ուղարկելը Graylog-ին Rsyslog-ի միջոցով
Graylog սերվերի վրա Syslog UDP մուտքագրումը ստեղծելուց հետո այժմ կարող եք տեղեկամատյանների հաղորդագրություններ ուղարկել Graylog սերվերին: Հետևյալ բաժնում դուք Linux սարքից տեղեկամատյաններ կուղարկեք Graylog սերվեր՝ օգտագործելով Rsyslog:
Ստեղծեք նոր լրացուցիչ rsyslog կոնֆիգուրացիա /etc/rsyslog.d/graylog.conf՝ օգտագործելով հետևյալ նանո խմբագրիչի հրամանը:
sudo nano /etc/rsyslog.d/graylog.conf
Տեղադրեք հետևյալ կոնֆիգուրացիան և համոզվեք, որ փոխեք IP հասցեն և նավահանգիստը՝ մուտքագրված graylog-alma մանրամասներով:
*.*@192.168.10.20:5142;RSYSLOG_SyslogProtocol23Format
Ավարտելուց հետո պահպանեք և դուրս եկեք ֆայլից:
Այժմ գործարկեք systemctl հրամանը՝ Rsyslog ծառայությունը վերագործարկելու և փոփոխությունները կիրառելու համար: Rsyslog-ը վերագործարկվելուց հետո թիրախային մեքենան տեղեկամատյանները կուղարկի Graylog սերվերին syslog արձանագրության միջոցով մուտքագրված graylog-alma:
sudo systemctl restart rsyslog
Հաջորդը, վերադարձեք Graylog-ի կառավարման վահանակ և կտտացրեք «Հոսք» ընտրացանկը: Եթե ձեր տեղադրումը հաջող է, դուք պետք է տեսնեք թիրախային մեքենայի մանրամասների տեղեկամատյանները, որոնք հասանելի են Graylog սերվերում:
Եզրակացություն
Շնորհավորում ենք, դուք ավարտել եք Graylog-ի տեղադրումը որպես գրանցամատյանների կառավարման կենտրոնացված համակարգ ձեր AlmaLinux 9 համակարգում: Դուք տեղադրել եք Graylog-ը MongoDB-ի և Opensearch-ի հետ, ինչպես նաև կարգավորել եք առաջին Graylog մուտքագրումը Syslog UDP-ի միջոցով: Այժմ դուք կարող եք ուսումնասիրել տարբեր տեսակի Graylog մուտքագրումներ կամ սահմանել Graylog-ի տեղակայման լծակներ մի քանի սերվերների միջոցով: