Graylog est la solution open source de gestion centralisée des journaux qui permet l'analyse, la recherche et la surveillance en temps réel de grandes quantités de données machine. Il a été développé à Hambourg, en Allemagne, dans le but de fournir une plate-forme d'analyse plus robuste et plus facile à utiliser, des vitesses d'analyse plus rapides, une administration et une gestion de l'infrastructure faciles.
Dans cet article, nous apprendrons comment installer et configurer Graylog dans Ubuntu 20.04 LTS.
Prérequis
Avant de continuer à installer le Graylog, vous devez configurer les éléments suivants,
- Oracle Java SE 8 (OpenJDK 8) car Elasticsearch est un projet basé sur Java.
- Elasticsearch 6.8 et la version 7 jusqu'à 7.10 en tant que version ultérieure ne sont pas pris en charge par Graylog.
- MongoDB (4.0, 4.2 ou 4.4).
Installer Graylog
Commençons par l'installation car Java 8 est requis pour exécuter Elasticsearch. Nous aurons besoin de packages supplémentaires, installons-les également.
$ sudo apt update
$ sudo apt-get install openjdk-8-jre-headless pwgen apt-transport-https uuid-runtime
Après avoir installé Java, vous pouvez vérifier l'installation en utilisant la commande suivante.
$ java -version
Maintenant, installons Elasticsearch. Tout d'abord, nous devons ajouter un référentiel de packages à notre liste de référentiels de packages système à l'aide de la commande suivante.
$ wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
$ echo "deb https://artifacts.elastic.co/packages/oss-7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
Ensuite, installez Elasticsearch à l'aide de la commande apt.
$ sudo apt update
$ sudo apt install elasticsearch-oss
Une fois l'installation d'Elasticsearch terminée, mettez à jour la ligne suivante dans le fichier de configuration.
$ sudo vim /etc/elasticsearch/elasticsearch.yml
cluster.name: graylog
action.auto_create_index: false
Maintenant, activez et redémarrez le service pour appliquer la modification.
$ sudo systemctl daemon-reload
$ sudo systemctl restart elasticsearch.service
$ sudo systemctl enable elasticsearch.service
Ensuite, installons une base de données pour Graylog, Graylog utilise MongoDB comme base de données pour stocker les données. Tout d'abord, nous devons enregistrer une clé GPG publique pour le référentiel à l'aide de la commande suivante.
$ sudo apt install gnupg
$ wget -qO - https://www.mongodb.org/static/pgp/server-4.4.asc | sudo apt-key add -
Téléchargez maintenant et ajoutez le référentiel de packages à la liste des référentiels de packages système. Pour ce faire, exécutez,
$ echo "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/ubuntu focal/mongodb-org/4.4 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-4.4.list
Enfin, installez MongoDB à l'aide de la commande apt.
$ sudo apt update
$ sudo apt install -y mongodb-org
Et, pour installer une version spécifique de MongoDB avec la version préférée,
$ sudo apt install -y mongodb-org-mongos=4.4.6 mongodb-org=4.4.6 mongodb-org-tools=4.4.6 mongodb-org-shell=4.4.6 mongodb-org-server=4.4.6
Maintenant, activez et redémarrez MongoDB à l'aide de la commande systemctl,
$ sudo systemctl enable mongod
$ sudo systemctl restart mongod
Remarque :pendant l'exécution, si vous obtenez "mongod.service :sortie du processus principal, code=exited, status=14/n/a", exécutez la commande suivante.
$ sudo chown -R mongodb:mongodb /var/lib/mongodb
$ sudo chown mongodb:mongodb /tmp/mongodb-27017.sock
$ sudo systemctl restart mongod
Enfin, installez le serveur Graylog après l'installation de tous les packages prérequis. Pour installer Graylog, téléchargez d'abord le package deb puis analysez-le à l'aide de la commande dpkg et enfin, installez-le.
$ wget https://packages.graylog2.org/repo/packages/graylog-4.1-repository_latest.deb
$ sudo dpkg -i graylog-4.1-repository_latest.deb
$ sudo apt update
$ sudo apt -y install graylog-server
Maintenant, en activant le Graylog à l'aide de la commande systemctl,
$ sudo systemctl enable graylog-server.service
Configurer Graylog
Nous avons installé tous les packages nécessaires à l'exécution de Graylog, mais il n'est pas prêt à fonctionner. Avant de commencer à utiliser Graylog, nous devons configurer le password_secret et root_password_sh2. Le chemin par défaut du fichier de configuration est /etc/graylog/server/server.conf et nous utiliserons la commande sed pour infuser le mot de passe généré par pwgen.
Pour password_secret, nous utiliserons la commande pwgen pour générer un mot de passe aléatoire de 128 caractères. Pour l'installer, exécutez,
$ sudo apt install pwgen
Maintenant, nous allons générer un mot de passe à l'aide de la commande suivante et l'injecter à l'aide de la commande sed. Pour ce faire, exécutez,
$ sudo -E sed -i -e "s/password_secret =.*/password_secret = $(pwgen -s 128 1)/" /etc/graylog/server/server.conf
Ensuite, générons le mot de passe de hachage SHA 256 pour le root_password à l'aide de la commande suivante. N'oubliez pas de remplacer your_password par le mot de passe réel.
$ sudo sed -i -e "s/root_password_sha2 =.*/root_password_sha2 = $(echo -n 'your_password' | shasum -a 256 | cut -d' ' -f1)/" /etc/graylog/server/server.conf
Enfin, configurez un domaine pour le Graylog à l'aide de votre éditeur préféré.
$ sudo vim /etc/graylog/server/server.conf
Ensuite, recherchez et définissez la valeur de la variable dans la configuration de la manière suivante.
http_bind_address = your_server_ip:9000 http_external_uri= http://your_server_ip or domain:9000/
Ensuite, écrivez et quittez le fichier.
Une fois que tout est défini, redémarrez le serveur graylog à l'aide de la commande systemctl pour appliquer les modifications.
$ sudo systemctl restart graylog-server.service
Tester le serveur Graylog
Maintenant, tout est prêt à l'emploi. Lorsque vous visitez votre http_external_url configuré, vous pouvez voir l'interface Web comme ci-dessous.
Ensuite, authentifiez-vous à l'aide du nom d'utilisateur de l'administrateur et, pour le mot de passe, utilisez le mot de passe en texte brut que vous avez utilisé lors du hachage.
Conclusion
Merci d'avoir lu jusqu'au bout même si vous êtes novice ou professionnel. J'espère que vous avez un état d'esprit clair pour configurer et installer Graylog dans Ubuntu. Vous pouvez maintenant travailler avec le journal en utilisant le serveur Graylog.