GNU/Linux >> Tutoriels Linux >  >> Ubuntu

Comment installer Graylog sur Ubuntu 20.04

Graylog est un outil de gestion de journaux open source qui vous aide à stocker et à analyser de manière centralisée tous les journaux de machines. La configuration de Graylog se compose de trois composants Serveur Graylog, Elasticsearch et MongoDB.

Ici, nous allons voir comment installer Graylog sur Ubuntu 20.04.

Installer Java

La configuration de Graylog nécessite Java version 8 ou supérieure. Vous pouvez utiliser OpenJDK ou Oracle JDK sur votre machine pour continuer.

LIRE : Comment installer Oracle Java sur Ubuntu 20.04

Ici, je vais utiliser OpenJDK 11.

sudo apt update

sudo apt install -y apt-transport-https openjdk-11-jre-headless uuid-runtime pwgen curl dirmngr

Vérifiez la version de Java après l'installation d'OpenJDK.

java -version

Sortie : 

openjdk version "11.0.8" 2020-07-14
OpenJDK Runtime Environment (build 11.0.8+10-post-Ubuntu-0ubuntu120.04)
OpenJDK 64-Bit Server VM (build 11.0.8+10-post-Ubuntu-0ubuntu120.04, mixed mode, sharing)

Installer Elasticsearch

Elasticsearch stocke les journaux provenant de sources externes et propose une recherche et des analyses distribuées en temps réel avec l'interface Web RESTful.

Téléchargez et installez la clé de signature GPG.

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -

Configurez le référentiel Elasticsearch sur votre système en exécutant la commande ci-dessous.

echo "deb https://artifacts.elastic.co/packages/oss-6.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-6.x.list

Mettez à jour le cache du référentiel, puis installez le package Elasticsearch.

sudo apt update

sudo apt install -y elasticsearch-oss

Modifiez le fichier de configuration Elasticsearch pour définir le nom du cluster pour la configuration de Graylog.

sudo nano /etc/elasticsearch/elasticsearch.yml

Définissez le nom du cluster sur graylog, comme indiqué ci-dessous.

cluster.name: graylog

Ensuite, décommentez la ligne ci-dessous.

action.auto_create_index: false

Démarrez le service Elasticsearch pour lire les nouvelles configurations.

sudo systemctl daemon-reload

sudo systemctl start elasticsearch

sudo systemctl enable elasticsearch

Attendez au moins une minute pour permettre à Elasticsearch de démarrer complètement.

Elastisearch devrait maintenant écouter sur le port 9200. Utilisez la commande curl pour vérifier la réponse d'Elasticsearch.

curl -X GET http://localhost:9200

Sortie :

Assurez-vous que la sortie porte le nom du cluster, graylog.

{
  "name" : "vQklpl4",
  "cluster_name" : "graylog",
  "cluster_uuid" : "jLztxJoOROK-XuZkoKJr6A",
  "version" : {
    "number" : "6.8.11",
    "build_flavor" : "oss",
    "build_type" : "deb",
    "build_hash" : "00bf386",
    "build_date" : "2020-07-09T19:08:08.940669Z",
    "build_snapshot" : false,
    "lucene_version" : "7.7.3",
    "minimum_wire_compatibility_version" : "5.6.0",
    "minimum_index_compatibility_version" : "5.0.0"
  },
  "tagline" : "You Know, for Search"
}

Installer MongoDB

MongoDB agit comme une base de données pour stocker la configuration de Graylog. Graylog nécessite MongoDB v3.6, 4.0 ou 4.2.

Malheureusement, le référentiel officiel MongoDB n'a pas les versions MongoDB requises pour Ubuntu 20.04. Nous allons donc installer MongoDB v3.6 à partir du référentiel de base Ubuntu.

sudo apt update

sudo apt install -y mongodb-server

Démarrez MongoDB et activez-le au démarrage du système.

sudo systemctl start mongodb

sudo systemctl enable mongodb

Installer le serveur Graylog

Graylog Server lit les données d'Elasticsearch pour les requêtes de recherche provenant des utilisateurs, puis les affiche pour eux via l'interface Web Graylog.

Téléchargez et installez le package de configuration du référentiel Graylog 3.3.

wget https://packages.graylog2.org/repo/packages/graylog-3.3-repository_latest.deb

sudo dpkg -i graylog-3.3-repository_latest.deb

Mettez à jour le cache du référentiel.

sudo apt update

Installez le serveur Graylog à l'aide de la commande suivante.

sudo apt install -y graylog-server

Vous devez définir un secret pour sécuriser les mots de passe des utilisateurs. Utilisez la commande pwgen pour générer le secret.

pwgen -N 1 -s 96

Sortie : 

HRy1WNsMQIWF228SsbdQCnCsTBL7wVez28UsZXI8PXqStx5DQe3PAmtpm8PNm6g8K44fVFNo4c7Bvp4WCOyxGiSXvdhOXl8w

Modifiez le fichier server.conf.

sudo nano /etc/graylog/server/server.conf

Ensuite, placez le secret comme ci-dessous.

password_secret = HRy1WNsMQIWF228SsbdQCnCsTBL7wVez28UsZXI8PXqStx5DQe3PAmtpm8PNm6g8K44fVFNo4c7Bvp4WCOyxGiSXvdhOXl8w

Maintenant, générez un mot de passe de hachage (sha256) pour l'utilisateur root (à ne pas confondre avec l'utilisateur système, l'utilisateur root de graylog est admin).

Vous aurez besoin de ce mot de passe pour vous connecter à l'interface Web Graylog. Le mot de passe de l'administrateur ne peut pas être modifié à l'aide de l'interface Web. Vous devez donc modifier cette variable pour la définir.

Remplacez password par le choix de votre mot de passe.

echo -n password | sha256sum

Sortie : 

5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8

Modifiez à nouveau le fichier server.conf.

sudo nano /etc/graylog/server/server.conf

Ensuite, placez le mot de passe de hachage, comme indiqué ci-dessous.

root_password_sha2 = 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8

Configurer l'interface Web Graylog

A partir de la version Graylog 2.x, l'interface web est servie directement par le serveur Graylog. Activez l'interface Web Graylog en modifiant le fichier server.conf.

sudo nano /etc/graylog/server/server.conf

Mettez à jour l'entrée ci-dessous avec l'adresse IP de votre système par laquelle vous accéderez à l'interface Web Graylog.

http_bind_address = 192.168.0.10:9000
S'il vous arrive d'accéder au Graylog en utilisant une adresse IP publique en raison du NAT, mettez à jour les valeurs ci-dessous. Sinon, ignorez-le.
http_external_uri = http://public_ip:9000/

Démarrez et activez le service Graylog.

sudo systemctl daemon-reload

sudo systemctl start graylog-server

sudo systemctl enable graylog-server

Continuez à regarder les journaux de démarrage du serveur Graylog. Ce journal vous sera utile pour dépanner Graylog en cas de problème.

sudo tail -f /var/log/graylog-server/server.log

Lors du démarrage réussi du serveur Graylog, vous devriez obtenir le message suivant dans le fichier journal.

2020-08-03T16:03:06.326-04:00 INFO  [ServerBootstrap] Graylog server up and running.

Accéder à Graylog

L'interface Web Graylog va maintenant écouter sur le port 9000. Ouvrez votre navigateur et pointez-le vers.

http://ip.add.re.ss:9000

Connectez-vous avec le nom d'utilisateur admin et le mot de passe que vous avez configuré à root_password_sha2 sur le fichier server.conf.

Une fois connecté, vous verrez la page de démarrage.

Cliquez sur Système>> Aperçu pour connaître l'état du serveur Graylog.

Créer une entrée Graylog

Dans le prochain article, nous verrons comment configurer Graylog pour recevoir les journaux Rsyslog de sources externes.

Conclusion

Vous avez installé avec succès Graylog 3.0 sur Ubuntu 20.04. Pour en savoir plus, vous pouvez essayer de configurer Nginx ou Apache en tant que proxy inverse et configurer HTTPS pour l'interface Web Graylog.


Ubuntu

  1. Comment installer Docker sur Ubuntu 18.04

  2. Comment installer Apache sur Ubuntu 18.04

  3. Comment installer MariaDB 10.4 sur Ubuntu 18.04

  4. Comment installer MongoDB sur Ubuntu 18.04

  5. Comment installer Jenkins sur Ubuntu 18.04

Comment installer Tomcat 8.5 sur Ubuntu 18.04

Comment installer Asterisk sur Ubuntu 18.04

Comment installer Tomcat 9 sur Ubuntu 18.04

Comment installer Webmin sur Ubuntu 18.04

Comment installer Kodi sur Ubuntu 18.04

Comment installer Graylog sur Ubuntu 20.04 LTS