Ce didacticiel aidera les utilisateurs à installer et à utiliser Graylog sur le serveur Ubuntu 20.04 LTS pour collecter et analyser les données des journaux système de manière centralisée en un seul endroit.
Graylog est un outil open source qui offre une plate-forme intégrée pour la collecte, l'indexation et l'analyse des données de journal. Le système se compose essentiellement de l'interface Web Graylog, des serveurs Graylog, des nœuds Elasticsearch et d'une base de données Mongo.
Les nœuds peuvent être mis à l'échelle selon les besoins. Un système dans lequel tout est combiné dans un nœud est suffisant pour les tests. Le serveur Graylog est l'élément central de l'architecture, qui s'occupe de la gestion des index Elasticsearch et forme une couche d'abstraction. Il serait donc possible de troquer Elasticsearch pour un autre système particulièrement adapté à l'analyse des données de logs.
Graylog prend en charge divers mécanismes de saisie. Par défaut, quatre formats ou protocoles différents sont pris en charge :Syslog, GELF, JSON/REST-URL et RAW. syslog est une norme pour la transmission des messages de journal et est souvent utilisé par les composants du système.
Éléments dont nous avons besoin pour réaliser ce didacticiel :
- MongoDB
- ElasticSearch
- Serveur Graylog
- Un utilisateur non root avec
sudodroits - Un serveur Ubuntu avec 4 cœurs de processeur et 8 Go de RAM
Étapes pour installer Graylog Ubuntu 20.04 LTS
1. Installer les dépendances requises
Il y a peu de choses requises par le serveur Graylog pour être installées sur Ubuntu 20.04 LTS, parmi lesquelles Java, un générateur de mots de passe ainsi que quelques-uns des plus courants. Exécutez les commandes ci-dessous pour les installer toutes.
Tout d'abord, exécutez la commande de mise à jour du système
sudo apt update
Installez ensuite les packages suivants…
sudo apt-get install apt-transport-https openjdk-11-jre-headless uuid-runtime pwgen
2. Configurer MongoDB sur Ubuntu 20.04 pour Graylog
Graylog utilise MongoDB pour stocker les données, nous devons donc l'installer sur notre serveur afin que plus tard les journaux générés puissent y être enregistrés pour des analyses ultérieures.
Les packages que nous devons installer MongoDB est déjà disponible sur le dépôt officiel d'Ubuntu, il vous suffit donc d'exécuter la commande ci-dessous :
sudo apt install -y mongodb-server
Activez et démarrez les services du serveur de base de données :
sudo systemctl enable --now mongodb
sudo systemctl restart mongod.service
Pour vérifier s'il fonctionne correctement sans aucune erreur, vous pouvez exécuter :
sudo systemctl status mongodb
3. Installez Elastic Search sur le serveur Ubuntu 20.04 LTS
Elasticsearch est un moteur de recherche et d'analyse en texte intégral open source. Il est également hautement évolutif et permet aux utilisateurs de stocker, rechercher et analyser de gros volumes de données rapidement et en temps quasi réel, ce qui sera utile dans Graylog pour traiter et analyser un grand nombre de journaux.
Ce système n'est pas disponible dans le référentiel de base d'Ubuntu 20.04, nous devons donc ajouter manuellement le référentiel officiel Elastic Search.
Ajouter une clé GPG :
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
Ajouter un référentiel Elastic Search :
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-7.x.list
Commande pour installer la version open source d'ElasticSearch sur Ubuntu 20.04 :
sudo apt-get update && sudo apt-get install elasticsearch-oss
Modifiez le fichier de configuration Elasticsearch pour définir le nom du cluster sur graylog et ajoutez action.auto_create_index: false
Pour cela, il suffit de copier-coller le bloc de commande entier donné ci-dessous et appuyez sur Entrée clé.
sudo tee -a /etc/elasticsearch/elasticsearch.yml > /dev/null <<EOT cluster.name: graylog action.auto_create_index: false EOT
Activer et démarrer le service de recherche Elastic :
sudo systemctl daemon-reload sudo systemctl enable --now elasticsearch sudo systemctl restart elasticsearch.service
4. Commande pour installer Graylog Server sur Ubuntu 20.04
Téléchargez le référentiel de Graylog qui est disponible en tant que package deb.
wget https://packages.graylog2.org/repo/packages/graylog-4.0-repository_latest.deb
Installez-le :
sudo dpkg -i graylog-4.0-repository_latest.deb
Maintenant, mettez à jour votre système, afin qu'il puisse reconnaître le référentiel nouvellement ajouté pour télécharger les packages pour Graylog :
sudo apt-get update
Enfin, installez-le
sudo apt-get install graylog-server
Extra :Si vous souhaitez également installer les plugins d'intégration ou les plugins d'entreprise, exécutez :
sudo apt install graylog-enterprise-plugins graylog-integrations-plugins graylog-enterprise-integrations-plugins
5. Modifier le fichier de configuration Graylog pour définir le mot de passe administrateur
Il existe deux valeurs de mot de passe - password_secret et root_password_sha2 , nous devons les configurer sinon Graylog sur Ubuntu 20.04 LTS ne démarrera pas du tout.
Ces deux valeurs sont présentes dans le fichier de configuration Graylog et ce que nous leur avons défini servira à sécuriser les mots de passe des utilisateurs et à se connecter à l'utilisateur administrateur sur son interface Web. Mais nous ne pouvons pas définir une valeur en texte brut pour eux, nous devons plutôt générer un hachage. Alors lancez :
Définir la clé password_secret
pwgen -N 1 -s 96
La commande ci-dessus générera une clé secrète pour sécuriser les mots de passe des utilisateurs, donc copiez cela et modifiez le fichier de configuration en utilisant :
sudo nano /etc/graylog/server/server.conf
Maintenant, trouvez password_secret = dans le fichier et collez la clé secrète copiée devant celui-ci. Comme indiqué dans la capture d'écran ci-dessous.
Enregistrez le fichier en appuyant sur Ctrl + X , O, et appuyez sur Entrée clé.
Définir le hachage root_password_sha2
Le nom d'utilisateur par défaut pour se connecter à l'interface Web Graylog est admin , alors que le mot de passe doit être défini, c'est ce que nous faisons ici. Générez un hachage pour le mot de passe que vous souhaitez définir à l'aide de la commande ci-dessous :
echo -n MyPassword | sha256sum
Remarque :Changer le MyPassword dans la commande ci-dessus avec le mot de passe que vous souhaitez définir pour vous connecter à l'interface Web Graylog.
Lorsque vous appuyez sur Entrée après avoir utilisé la commande ci-dessus, une somme de hachage sera générée. Copiez-le.
Maintenant, modifiez à nouveau le fichier de configuration :
sudo nano /etc/graylog/server/server.conf
Recherchez la ligne : root_password_sha2 et collez la somme de hachage devant, comme indiqué dans la capture d'écran ci-dessous :
De plus, par défaut, le Graylog n'est accessible qu'en utilisant l'IP localhost, c'est-à-dire 127.0.0.1 ainsi, si vous envisagez d'accéder à distance à son interface Web, modifiez-la avec l'adresse IP de votre serveur dans le fichier de configuration.
Trouvez la ligne :http_bind_address, décommentez-le et changez 127.0.0.1 avec l' adresse IP de votre système sur lequel vous installez graylog.
Enregistrez le fichier– Ctrl + X, Y et appuyez sur Entrée clé.
6. Activer et redémarrer le serveur Graylog
Nous avons déjà fait toute la configuration essentielle, maintenant activez ce service de système de journal pour démarrer automatiquement.
sudo systemctl daemon-reload sudo systemctl enable --now graylog-server sudo systemctl restart graylog-server
Vérifiez s'il s'exécute sans erreur ou non :
sudo systemctl status graylog-server
Si vous envisagez d'accéder à l'interface Web Graylog à distance puis ouvrez également le port 9000 dans le pare-feu Ubuntu :
sudo ufw allow 9000
7. Accéder à l'interface Web
Ouvrez un navigateur sur votre système local ou distant qui peut accéder à l'adresse IP du serveur Ubuntu 20.04. Et tapez le http://your-server-ipaddress:9000
Remplacez l'adresse IP de votre serveur avec l'adresse IP réelle de votre serveur sur lequel Graylog a été installé.
Le nom d'utilisateur par défaut est admin alors que le mot de passe correspond à ce que vous avez défini à l'étape 5 de cet article pour root_password. Par exemple dans la commande, nous avons utilisé MyPassword .
8. Envoyer les journaux système du système hôte à Graylog
Créez un fichier de configuration sous /etc/rsyslog.d/ pour indiquer au système où envoyer les journaux.
sudo nano /etc/rsyslog.d/90-graylog.conf
Ajoutez la ligne suivante :
*.* @your-server-ip:5140;RSYSLOG_SyslogProtocol23Format
Remplacez l'adresse IP de votre serveur avec l'adresse IP du système à partir duquel vous envoyez les journaux. S'il s'agit d'un système hôte sur lequel vous avez installé le Graylog, utilisez l'adresse IP de celui-ci.
Enregistrez le fichier en tapant Ctrl+X , O, et appuyez sur Entrée clé.
Maintenant, ajoutez Input pour Node dans Graylog.
Sur le tableau de bord de Graylog, cliquez sur Système -> Entrées .
Sélectionnez Syslog UDP et cliquez sur Lancer une nouvelle entrée bouton.
Sélectionnez le nœud dans la liste déroulante, avec un titre (ce que vous voulez) sur Entrée, puis définissez le port numéro à 5140 après cela, faites défiler vers le bas et enregistrez la configuration.
Maintenant, cliquez sur "Commencer la saisie ” bouton pour démarrer l'entrée du serveur.
9. Tableau de bord des métriques
Une fois l'entrée du serveur lancée, cliquez sur Rechercher donné dans le menu Graylog et vous commencerez à obtenir des métriques et des journaux en temps réel à partir de votre serveur. Vous pouvez également définir la fréquence de mise à jour des métriques.
Pour en savoir plus sur cet outil de gestion des journaux et sur les autres tâches de configuration, reportez-vous à la documentation officielle où vous trouverez également le moyen d'utiliser Nginx/Apache comme proxy inverse et HTTPS dans Graylog.