Graylog est un outil open source pour la gestion des journaux. Il se compose d'Elastic Search, MongoDB et Graylog. Graylog peut être utilisé pour analyser les journaux et notifier en cas de divergence dans les journaux. Nous pouvons également l'utiliser pour analyser les journaux conventionnels et personnalisés.
Dans cet article, nous allons installer Graylog. Vous devez avoir un compte avec des privilèges sudo ou un compte root.
Mettez à jour vos packages système.
apt install -y apt-transport-https openjdk-11-jre-headless uuid-runtime pwgen curl dirmngr
apt update
apt upgradevous pouvez vérifier la version Java installée à l'aide de la commande ci-dessus.
java -version
Nous installerons Elastic Search que nous utiliserons éventuellement pour analyser et stocker les journaux importés de différentes machines.
téléchargez et installez Elastic Search GPG Key.
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -Ajoutez le référentiel Elastic Search dans la liste des sources d'Ubuntu 21.
echo "deb https://artifacts.elastic.co/packages/oss-7.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-7.x.listUtilisez les commandes mentionnées ci-dessous pour installer Elastic Search.
sudo apt update
sudo apt install -y elasticsearch-oss
Ajoutez le nom du cluster pour graylog dans la recherche élastique. Ouvrez le fichier de configuration Elastic Search à l'aide de la commande suivante :
nano /etc/elasticsearch/elasticsearch.ymlDécommentez la ligne "#cluster.name:my-application" en supprimant le signe # au début de la ligne et remplacez "my-application" par graylog
Ajoutez la ligne suivante dans le fichier de configuration :
action.auto_create_index: false
Rechargez le démon, puis démarrez et activez Elastic Search Service.
systemctl daemon-reload
systemctl start elasticsearch.service
systemctl enable elasticsearch.service
systemctl status elasticsearch.service
Elastic Search utilise le port 9200 et utilise la commande curl pour vérifier Elastic Search.
curl -X GET http://localhost:9200
Maintenant, nous allons installer mongoDB. Graylog utilisera mongoDB donc c'est tout à fait essentiel.
Utilisez les commandes suivantes pour installer MongoDB.
apt update
apt install dirmngr gnupg apt-transport-https ca-certificates software-properties-common
wget -qO - https://www.mongodb.org/static/pgp/server-4.4.asc | sudo apt-key add -
add-apt-repository 'deb [arch=amd64] https://repo.mongodb.org/apt/ubuntu focal/mongodb-org/4.4 multiverse'
apt install mongodb-org
Démarrez et activez MongoDB.
systemctl start mongod.service
systemctl enable mongod.service
systemctl status mongod.service
Installez Graylog :
Téléchargez le référentiel Garylog.
wget https://packages.graylog2.org/repo/packages/graylog-4.1-repository_latest.deb
dpkg -i graylog-4.1-repository_latest.debMaintenant, installez le serveur Graylog.
apt update
apt install -y graylog-server
Le serveur Graylog est installé. Maintenant, nous allons le configurer.
Utilisez la commande pwgen pour générer un secret pour le mot de passe utilisateur sécurisé.
pwgen -N 1 -s 96
Modifiez le fichier de configuration graylog pour ajouter le secret ci-dessus.
nano /etc/graylog/server/server.conflocalisez la ligne "password_secret" et ajoutez le secret après le signe "=".
ajoutez les lignes suivantes dans le fichier de configuration :
rest_listen_uri = http://192.168.189.129:9000/api/
web_listen_uri = http://192.168.189.129:9000/
enregistrer et quitter le fichier.
Générez maintenant un mot de passe pour accéder au Web du serveur graylog. Utilisez la commande suivante pour le faire.
echo -n admin | sha256sum
remplacez admin par le mot de passe souhaité, celui que vous souhaitez définir dans la commande ci-dessus.
La commande mentionnée ci-dessus générera une clé de hachage. entrez-le dans le fichier de configuration « /etc/graylog/server/server.conf » à la ligne « root_password_sha2 =»
enregistrer et quitter le fichier.
Démarrez et activez le service graylog.
systemctl daemon-reload
systemctl restart graylog-server.service
systemctl enable graylog-server.service
systemctl status graylog-server.service
décommentez la ligne suivante du fichier de configuration :
http_bind_address = 0.0.0.0:9000
Ouvrez le navigateur Web et entrez http://192.168.189.129:9000/ et entrez admin comme nom d'utilisateur et mot de passe.
Après avoir entré les informations d'identification, vous entrerez dans le serveur graylog. Vous pouvez maintenant configurer en conséquence pour voir vos journaux.
