Graylog est un outil de gestion de journaux gratuit et open-source basé sur Java, ElasticSearch et MongoDB. Graylog peut être utilisé pour collecter, indexer et analyser n'importe quel journal de serveur à partir d'un emplacement centralisé ou d'un emplacement distribué. Nous pouvons facilement surveiller toute activité inhabituelle pour le débogage des applications et des journaux à l'aide de Graylog. Graylog fournit un langage de requête puissant, des capacités d'alerte, un pipeline de traitement pour la transformation des données et bien plus encore. Nous pouvons également étendre les fonctionnalités de Graylog via une API REST et des modules complémentaires.
Pour le moment, il n'y a pas encore de guide officiel de Graylog v3.1 sur Debian 10.
L'installation de Graylog v3.1 sur Debian 10 se fait en 9 étapes :
- Étape 1 :Mettre à jour les systèmes avec les référentiels Debian Backport
- Étape 2 :Installez un assistant
- Étape 3 :Installez l'environnement d'exécution JAVA sans tête v11.00
- Étape 4 :Installez MongoDB v4.2, une base de données pour stocker les configurations et les méta-informations.
- Étape 5 :Installez Elasticsearch-OSS 6.x :il stocke tous les messages entrants et fournit une fonction de recherche.
- Étape 6 :Installez Graylog v3.1 – Il reçoit et consigne diverses entrées et fournit une interface Web pour l'analyse et la surveillance.
- Étape 7 :Configurer Graylog
- Étape 8 :Tester Graylog
- Étape 9 :Connectez-vous à Graylog
Prérequis
- Un minimum de Debian 10. Nous pouvons nous référer à ce tutoriel.
- Au moins 4 Go de RAM, un processeur à 2 cœurs et des disques de 20 Go
- Mot de passe par défaut :KataLaluan
- Secret par défaut : SecretRahsiaSecreta
- accès root en utilisant "su - ", Debian a récemment modifié le comportement de la commande su. maintenant 'su ' ne remplace pas PATH. utilisez "su - " à la place.
Étape 1 :Mettre à jour les systèmes avec Debian Backport
Configurer le système pour utiliser le dépôt de backports Debian
cat > /etc/apt/sources.list << EOF
deb http://ftp.debian.org/debian/ buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb http://ftp.debian.org/debian/ buster-updates main contrib non-free
deb http://ftp.debian.org/debian buster-backports main contrib non-free
EOF
apt -y update
apt -y dist-upgrade
Étape 2 - Installer le runtime Java sans tête v11.00
Graylog et Elasticsearch est une application basée sur Java. Nous devrons donc installer Java sur votre système. Par défaut, la dernière version de Java est disponible dans le référentiel par défaut de Debian 10. Nous pouvons l'installer en exécutant simplement la commande suivante :
apt -y install apt-transport-https default-jdk
Étape 3 – Installer un assistant
Nous devons installer quelques outils utiles comme aide dans le processus :
- GnuPG – une implémentation de la norme OpenPGP, pour aider dans le système de gestion des clés
- wget :un outil permettant de récupérer des fichiers à l'aide de HTTP, HTTPS et FTP, les protocoles Internet les plus largement utilisés
apt -y install gnupg wget
Étape 4 - Installer MongoDB v4.2
Par défaut, MongoDB n'est pas disponible dans le dépôt par défaut de Debian 10. Nous devons donc ajouter le référentiel MongoDB au système :
apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 4B7C549A058F8B6B
echo "deb http://repo.mongodb.org/apt/debian buster/mongodb-org/4.2 main" | tee /etc/apt/sources.list.d/latest-mongodb.list
apt -y update
apt install -y mongodb-org
Activez et redémarrez les services MongoDB :
systemctl enable mongod.service
systemctl start mongod.service
Étape 5 :Installez Elasticsearch-OSS 6.x
Actuellement, Graylog v3.1 n'est pas encore compatible Elasticsearch-OSS 7.x
Nous allons ajouter la clé et le référentiel Elasticsearch à Debian. Avec le référentiel elasticsearch fourni par elastic.co, nous pouvons installer Elasticsearch en exécutant la commande suivante :
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add -
echo "deb https://artifacts.elastic.co/packages/oss-6.x/apt stable main" | tee -a /etc/apt/sources.list.d/latest-elastic-6.x.list
apt -y update
apt -y install elasticsearch-oss
Configurer Elasticsearch pour le nom du cluster
sed -i "s/#cluster.name: my-application/cluster.name: graylog-application/g" /etc/elasticsearch/elasticsearch.yml
Activez et redémarrez les services Elasticsearch :
systemctl enable elasticsearch.service
systemctl start elasticsearch.service
Etape 6 :Installer Graylog v3.1
Nous allons télécharger un package Graylog simple qui aide à ajouter la clé Graylog et à configurer le référentiel Graylog
cd /tmp/
wget https://packages.graylog2.org/repo/packages/graylog-3.1-repository_latest.deb
dpkg -i graylog-3.1-repository_latest.deb
apt -y update
Installez Graylog en exécutant la commande suivante :
apt -y install graylog-server
Étape 7 :Configurer Graylog
Hachez le mot de passe et copiez le hachage. "KataLaluan " est le mot de passe actuellement sélectionné.
echo 'KataLaluan' | tr -d '\n' | sha256sum | cut -d" " -f1
Ajouter le mot de passe haché dans le fichier de configuration Graylog
sed -i "s/^root_password_sha2 =\$/root_password_sha2 = a25d2f6605c9e27f182d39b66a8b527eb7f2360e52b2ccc7614f8ac24e472bef/g" /etc/graylog/server/server.conf
Ajoutez le secret dans le fichier de configuration Graylog, La longueur minimale de celui-ci est de 16 caractères.
sed -i "s/^password_secret =\$/password_secret = SecretRahsiaSecreta/g" /etc/graylog/server/server.conf
Autoriser l'accès externe au graylog
sed -i "s/^#http_bind_address = 127.0.0.1:9000/http_bind_address = 0.0.0.0:9000/g" /etc/graylog/server/server.conf
Changer le fuseau horaire selon l'emplacement
sed -i "s/#root_timezone = UTC/root_timezone = Asia\/Kuala_Lumpur/g" /etc/graylog/server/server.conf
Activez et redémarrez les services Graylog :
systemctl enable graylog-server.service
systemctl start graylog-server.service
si le Graylog est derrière un routeur, nous devons définir l'adresse IP WAN du routeur dans la configuration Graylog. Il peut également s'agir d'enregistrements DNS A qui pointent vers la même adresse IP
sed -i '/http_publish_uri =/c\http_publish_uri = http://graylog.howtoforge.com:9000/' /etc/graylog/server/server.conf
Étape 8 :Tester Graylog
Testons le Graylog à l'aide de commandes primitives
apt -y install netcat curl
Voici un exemple de commande à enregistrer.
echo "Hello Graylog, let's be friends." | nc -w 1 -u 127.0.0.1 9099
Voici un exemple de commande pour obtenir l'état de l'API du serveur Graylog.
curl -X GET http://localhost:9200
curl -XGET 'http://localhost:9200/_cluster/health?pretty=true'
Voici un exemple de commande pour obtenir le journal du serveur Graylog.
tail -f /var/log/graylog-server/server.log
Étape 9 :Connexion à Graylog
Laissez utilisé le WebGUI. l'URL peut être :
- http://
:9000/ - http://
:9000/ - http://
:9000/
Exemple d'URL
- http://192.168.0.3:9000/
- http://104.26.2.165:9000/
- http://graylog.howtoforge:9000/
Après avoir entré l'URL dans un navigateur, nous devrions voir la page de connexion suivante, le nom d'utilisateur par défaut est admin , et le mot de passe sélectionné est KataLaluan,
Après la connexion, nous devrions voir la page Graylog suivante :
Conclusion
Terminé, nous avons installé et configuré avec succès le serveur Graylog 3.1 sur Debian 10. Nous pouvons maintenant voir facilement les journaux et l'analyse des journaux système à l'emplacement central. Obtenez plus d'informations sur la page de documentation de Graylog. Veuillez commenter et faire part de vos commentaires si vous avez des questions.
Bonne journalisation.