GNU/Linux >> Tutoriels Linux >  >> Debian

Comment installer Graylog sur Debian 10 / Debian 9

Graylog est un outil gratuit et open source de gestion des journaux qui vous aide à collecter et à analyser de manière centralisée tous les journaux des machines.

Ce guide se concentre sur l'installation de Graylog (v3.2) sur Debian 10 / Debian 9.

Composants

  1. Elasticsearch :il stocke les journaux de la machine et fournit la fonction de recherche.
  2. MongoDB :agit comme une base de données pour stocker les configurations et les métadonnées.
  3. Serveur Graylog - t collecte les journaux à partir de diverses entrées et fournit une interface Web intégrée pour gérer les journaux.

Prérequis

Installez les quelques packages requis pour l'installation de Graylog.

sudo apt update 

sudo apt install -y apt-transport-https uuid-runtime pwgen curl dirmngr wget

Installez Oracle JDK ou OpenJDK sur votre machine pour Elasticsearch.

sudo apt install -y default-jre

Vérifiez la version Java.

java -version

Sortie : 

openjdk version "11.0.6" 2020-01-14
OpenJDK Runtime Environment (build 11.0.6+10-post-Debian-1deb10u1)
OpenJDK 64-Bit Server VM (build 11.0.6+10-post-Debian-1deb10u1, mixed mode, sharing)

Installer Elasticsearch

Elasticsearch est l'un des principaux composants de la configuration de Graylog. Il agit comme un serveur de recherche, offre une recherche et des analyses distribuées en temps réel avec l'interface Web RESTful.

Elasticsearch stocke les journaux envoyés par le serveur Graylog et affiche les messages à chaque demande de l'utilisateur via l'interface Web intégrée.

Ajoutons la clé de signature Elasticsearch GPG.

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -

Configurez le référentiel Eleasticsearch en exécutant la commande ci-dessous.

echo "deb https://artifacts.elastic.co/packages/oss-6.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-6.x.list

Mettez à jour le cache du référentiel et installez Elasticsearch.

sudo apt update

sudo apt install -y elasticsearch-oss

Modifier le fichier de configuration d'Elasticsearch.

sudo nano /etc/elasticsearch/elasticsearch.yml

Définissez le nom du cluster sur graylog.

cluster.name: graylog

action.auto_create_index: false

Redémarrez le service Elasticsearch.

sudo systemctl restart elasticsearch

Configurez Elasticsearch pour qu'il démarre automatiquement au démarrage du système.

sudo systemctl enable elasticsearch

Attendez une minute pour permettre à Elasticsearch de démarrer complètement.

Elastisearch devrait maintenant écouter sur le port 9200 pour traiter les requêtes HTTP. Utilisez un CURL pour vérifier la réponse.

curl -X GET http://localhost:9200

Assurez-vous que le nom du cluster s'affiche en tant que graylog.

{
  "name" : "EHpBH-y",
  "cluster_name" : "graylog",
  "cluster_uuid" : "cGXE-wgsT56sBKsDC_TYBw",
  "version" : {
    "number" : "6.8.7",
    "build_flavor" : "oss",
    "build_type" : "deb",
    "build_hash" : "c63e621",
    "build_date" : "2020-02-26T14:38:01.193138Z",
    "build_snapshot" : false,
    "lucene_version" : "7.7.2",
    "minimum_wire_compatibility_version" : "5.6.0",
    "minimum_index_compatibility_version" : "5.0.0"
  },
  "tagline" : "You Know, for Search"
}

Vérifiez la santé du cluster Elasticsearch.

curl -XGET 'http://localhost:9200/_cluster/health?pretty=true'

Assurez-vous que l'état du cluster est vert .

{
  "cluster_name" : "graylog",
  "status" : "green",
  "timed_out" : false,
  "number_of_nodes" : 1,
  "number_of_data_nodes" : 1,
  "active_primary_shards" : 0,
  "active_shards" : 0,
  "relocating_shards" : 0,
  "initializing_shards" : 0,
  "unassigned_shards" : 0,
  "delayed_unassigned_shards" : 0,
  "number_of_pending_tasks" : 0,
  "number_of_in_flight_fetch" : 0,
  "task_max_waiting_in_queue_millis" : 0,
  "active_shards_percent_as_number" : 100.0
}

Installer MongoDB

Graylog 3 fonctionne uniquement avec MongoDB 4.0. Alors, suivez les instructions sur les liens ci-dessous pour installer MongoDB 4.0, selon la version de Debian.

LIRE : Comment installer MongoDB 4.0 sur Debian 10

LIRE : Comment installer MongoDB 4.0 sur Debian 9

Installer Graylog

Le serveur Graylog accepte et traite les journaux de la machine et les affiche pour les requêtes provenant de l'interface Web graylog.

Téléchargez et installez le package de référentiel Graylog.

wget https://packages.graylog2.org/repo/packages/graylog-3.2-repository_latest.deb

sudo dpkg -i graylog-3.2-repository_latest.deb

Mettez à jour le cache du référentiel.

sudo apt update

Installez le serveur Graylog à l'aide de la commande apt.

sudo apt install -y graylog-server

Définissez un secret pour sécuriser les mots de passe des utilisateurs. Utilisez la commande pwgen pour le même.

pwgen -N 1 -s 96

Sortie : 

AE9RxeSA6BC6OCYh0zciUV7WMucNfodMhsmjYKOaBpWfQCBTzroa9ld7iOjespZjVwh47BIZFYTkeUD9h04uie2bghqrfShX

Modifiez le fichier server.conf pour commencer la configuration du graylog.

sudo nano /etc/graylog/server/server.conf

Placez le secret comme ci-dessous.

password_secret = OH9wXpsNZVBA8R5vJQSnkhTB1qDOjCxAh3aE3LvXddtfDlZlKYEyGS24BJAiIxI0sbSTSPovTTnhLkkrUvhSSxodTlzDi5gP

Définissez un mot de passe de hachage (sha256) pour l'utilisateur root de Graylog (l'utilisateur root de graylog est admin).

Le mot de passe de l'administrateur Graylog ne peut pas être modifié à l'aide d'une interface Web. Vous devez donc modifier le fichier de configuration pour le définir.

Remplacez votre mot de passe par votre choix. Vous voudrez ce mot de passe pour vous connecter à l'interface Web Graylog.

echo -n yourpassword | sha256sum

Sortie : 

e3c652f0ba0b4801205814f8b6bc49672c4c74e25b497770bb89b22cdeb4e951

Modifiez à nouveau le fichier server.conf.

sudo nano /etc/graylog/server/server.conf

Placez le mot de passe de hachage.

root_password_sha2 = e3c652f0ba0b4801205814f8b6bc49672c4c74e25b497770bb89b22cdeb4e951

Installer l'interface Web Graylog

Modifiez le fichier server.conf.

sudo nano /etc/graylog/server/server.conf

Modifiez les entrées ci-dessous pour activer l'interface Web Graylog. Remplacez 192.168.0.10 par l'adresse IP de votre système.

http_bind_address = 192.168.0.10:9000
S'il vous arrive d'accéder au Graylog en utilisant une adresse IP publique en raison du NAT, mettez à jour les valeurs ci-dessous. Sinon, ignorez-le.
http_external_uri = http://public_ip:9000/

Redémarrez le service Graylog.

sudo systemctl start graylog-server

Activez le serveur Graylog pour qu'il démarre automatiquement au démarrage du système.

sudo systemctl enable graylog-server

Consultez les journaux de démarrage du serveur pour dépanner le Graylog en cas de problème.

sudo tail -f /var/log/graylog-server/server.log

Après le démarrage réussi du serveur Graylog, vous devriez obtenir le message suivant dans le fichier journal.

2020-03-29T23:27:14.057-05:00 INFO  [ServerBootstrap] Graylog server up and running.

Accéder à l'interface Web Graylog

L'interface Web Graylog sera désormais disponible sur le port 9000. Alors, pointez votre navigateur vers.

http://ip.add.re.ss:9000

Connectez-vous avec le nom d'utilisateur admin et le mot de passe que vous avez configuré sur server.conf.

Une fois connecté, vous devriez voir la page de démarrage de Graylog.

Cliquez sur Système>> Aperçu pour vérifier l'état du serveur Graylog.

Conclusion

C'est tout. J'espère que vous avez appris à installer Graylog sur Debian 10 / Debian 9. Pour recevoir les journaux d'autres machines, vous devez configurer les entrées Graylog et configurer la machine Linux pour envoyer les journaux à Graylog.


Debian

  1. Comment installer Debian 10 (Buster)

  2. Comment installer Python 3.9 sur Debian 10

  3. Comment installer Memcached sur Debian 10

  4. Comment installer TeamViewer sur Debian 10

  5. Comment installer Git sur Debian 9

Comment installer R sur Debian 10

Comment installer Debian 11

Comment installer Graylog sur Debian 9

Comment installer Graylog sur Debian 10

Comment installer Go sur Debian 10

Comment installer Go sur Debian