Ce guide vous guide tout au long de l'installation de Graylog avec Elasticsearch 7.x sur CentOS 8. Graylog est une solution open source de gestion des journaux qui a été fondée en 2009 pour capturer et centraliser les journaux en temps réel de divers appareils d'un réseau. C'est un outil parfait pour analyser les journaux cruciaux tels que les connexions SSH, les violations ou tout incident louche ou inhabituel pouvant indiquer une violation du système. Avec une capacité de journalisation en temps réel, il apparaît comme un outil de cybersécurité parfait que les équipes opérationnelles peuvent utiliser pour atténuer les petits problèmes avant qu'ils ne se transforment en menaces énormes.
Graylog est composé de 3 composants cruciaux :
- Elasticsearch :Il s'agit d'un moteur d'analyse open source qui indexe les données reçues du serveur Graylog.
- MongoDB :Il s'agit d'une base de données NoSQL open source qui stocke les méta-informations et les configurations.
- Serveur Graylog :Cela transmet les journaux et fournit une interface Web où les journaux sont visualisés.
Avec ce résumé, nous allons tout de suite installer Graylog sur CentOS 8.
Prérequis pour le serveur Graylog
Au début, assurez-vous que votre instance CentOS 8 répond aux exigences suivantes :
- 2 processeurs
- 4 Go de RAM
- Connexion Internet rapide et stable
Étape 1) Installez Java 8 avec la commande dnf
Elasticsearch est construit sur Java et nous devons donc installer Java et plus précisément Java 8 avant toute autre chose. Vous avez la possibilité d'installer OpenJDK ou Oracle Java. Dans ce guide, nous installons OpenJDK 8.
$ sudo dnf install -y java-1.8.0-openjdk java-1.8.0-openjdk-devel
Pour confirmer la version de Java installée, exécutez :
$ java -version
Étape 2) Installez Elasticsearch 7.x
Nous allons installer la dernière version d'Elasticsearch qui, au moment de la rédaction de ce guide, est Elasticsearch 7.9.2. Elasticsearch n'est pas disponible sur les référentiels CentOS 8, nous allons donc créer un référentiel local. Mais d'abord, importons la clé GPG comme indiqué.
$ sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
À l'aide de votre éditeur de texte, créez un nouveau fichier de référentiel comme indiqué :
$ sudo vi /etc/yum.repos.d/elasticsearch.repo
Collez le contenu ci-dessous
[elasticsearch-7.x] name=Elasticsearch repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md
Enregistrez et quittez le fichier de configuration. Pour installer Elasticsearch, exécutez la commande :
$ sudo dnf install -y elasticsearch
Une fois l'installation terminée, notifiez systemd et activez Elasticsearch.
$ sudo systemctl daemon-reload $ sudo systemctl enable elasticsearch
Nous devons faire fonctionner Elasticsearch avec Graylog et par conséquent, nous mettrons à jour le nom du cluster en "graylog" comme indiqué :
$ sudo vi /etc/elasticsearch/elasticsearch.yml ......... cluster.name: graylog .........
Enregistrez et quittez le fichier et redémarrez elasticsearch pour que les modifications prennent effet.
$ sudo systemctl restart elasticsearch
Pour vérifier qu'Elasticsearch est en cours d'exécution, nous enverrons une requête HTTP via le port 9200, comme indiqué.
$ curl -X GET "localhost:9200/"
Vous devriez obtenir le résultat comme indiqué ci-dessous.
Étape 3) Installez MongoDB 4
Pour installer MongoDB, créez un fichier de référentiel local
$ sudo vi /etc/yum.repos.d/mongodb-org-4.repo
Collez la configuration ci-dessous
[mongodb-org-4] name=MongoDB Repository baseurl=https://repo.mongodb.org/yum/redhat/8/mongodb-org/4.2/x86_64/ gpgcheck=1 enabled=1 gpgkey=https://www.mongodb.org/static/pgp/server-4.2.asc
Enregistrez et quittez, puis installez MongoDB à l'aide de la commande indiquée.
$ sudo dnf install -y mongodb-org
Une fois MongoDB installé, démarrez MongoDB et confirmez son statut comme indiqué
$ sudo systemctl start mongod $ sudo systemctl enable mongod $ sudo systemctl status mongod
Parfait, la sortie ci-dessus confirme que le service mongodb est démarré avec succès et fonctionne correctement.
Étape 4) Installer et configurer le serveur Graylog
Pour installer le serveur Graylog, commencez par installer le référentiel Graylog comme indiqué :
$ sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-3.3-repository_latest.rpm
Une fois le référentiel ajouté, installez le serveur Graylog comme indiqué.
$ sudo dnf install -y graylog-server
Une fois l'installation réussie, vous pouvez confirmer plus de détails sur le serveur Graylog en exécutant :
$ rpm -qi graylog-server
Faisons maintenant quelques configurations. Tout d'abord, nous allons générer un mot de passe secret qui sera passé dans la directive password_secret du fichier de configuration /etc/graylog/server/server.conf. Pour ce faire, nous allons générer un mot de passe aléatoire à l'aide d'un générateur de mot de passe aléatoire appelé pwgen. Pour l'installer, nous devons d'abord activer le référentiel EPEL pour CentOS 8.
$ sudo dnf install -y epel-release $ sudo dnf install -y pwgen
Une fois installé, vous pouvez générer un mot de passe aléatoire à l'aide de la commande.
$ sudo pwgen -N 1 -s 96
La sortie de la commande ressemblerait à ci-dessous :
[[email protected] ~]$ sudo pwgen -N 1 -s 96 EtUtR16i9xwRsGbXROMFhSazZ3PvNe1tYui8wM5Q7h1UiXY0RTDdGygkhuDEJi9fpGwwXhMbYjcv9aFLh9DNF15JPBnMD0ne [[email protected] ~]$
Copiez le mot de passe crypté et enregistrez-le quelque part, de préférence sur un éditeur de texte. Vous en aurez besoin ailleurs.
Ensuite, générez un mot de passe pour l'attribut root_password_sha2 comme indiqué.
$ echo -n [email protected]@123# | sha256sum
La sortie serait,
[[email protected] ~]$ echo -n [email protected]@123# | sha256sum a8f1a91ef8c534d678c82841a6a88fa01d12c2d184e641458b6bec67eafc0f7c - [[email protected] ~]$
Encore une fois, enregistrez ce mot de passe crypté quelque part. Ouvrez maintenant le fichier de configuration de Graylog.
$ sudo vi /etc/graylog/server/server.conf
Localisez les attributs password_secret et root_password_sha2 et collez les mots de passe chiffrés correspondants.
Ensuite, décommentez l'attribut http_bind_address et entrez l'adresse IP de votre serveur.
Rechargez systemd, démarrez et activez Graylog.
$ sudo systemctl daemon-reload $ sudo systemctl start graylog-server $ sudo systemctl enable graylog-server
Exécutez la commande suivante pour vérifier l'état du service Graylog :
$ sudo systemctl status graylog-server
Vous pouvez également vérifier l'état du service graylog à l'aide de son fichier journal "/var/log/graylog-server/server.log"
Autoriser le serveur Graylog dans le pare-feu :
Si le pare-feu est activé et en cours d'exécution, autorisez le port TCP 9000 à l'aide des commandes ci-dessous,
$ sudo firewall-cmd --permanent --add-port=9000/tcp $ sudo firewall-cmd --reload
Pour accéder à Graylog sur un navigateur, parcourez l'adresse IP de votre serveur comme indiqué :
http://IP-serveur:9000
Assurez-vous de vous connecter avec le nom d'utilisateur admin et le mot de passe que vous avez définis pour l'utilisateur root, comme spécifié dans le fichier de configuration.
Ceci conclut notre sujet pour aujourd'hui. Nous vous avons présenté une procédure étape par étape d'installation de Graylog sur CentOS 8. Veuillez partager vos commentaires et commentaires.