Giunsa ang Pag-install sa Graylog Log Management Tool sa RHEL Systems

Ang Graylog usa ka nanguna sa industriya nga opensource log management solution alang sa pagkolekta, pagtipig, pag-indeks, ug pag-analisar sa real-time nga datos gikan sa mga aplikasyon ug daghan kaayong mga device sa IT infrastructures sama sa mga server, routers, ug firewalls.

Gitabangan ka sa Graylog nga makakuha og daghang mga panabut sa mga datos nga nakolekta pinaagi sa paghiusa sa daghang mga pagpangita alang sa detalyado nga pagtuki ug pagreport. Namatikdan usab niini ang mga hulga ug posible nga daotan nga kalihokan pinaagi sa paghimo og lawom nga pagtuki sa mga troso gikan sa hilit nga mga gigikanan.

Ang Graylog naglangkob sa mosunod:

  • Ang Graylog Server – Kini ang nag-unang server ug gigamit sa pagproseso sa mga log.
  • Ang Graylog web interface – Kini usa ka aplikasyon sa browser nga naghatag ug pagtan-aw sa datos ug mga log nga nakolekta gikan sa daghang mga endpoint.
  • MongoDB – Usa ka server sa database sa NoSQL alang sa pagtipig sa datos sa pag-configure.
  • ElasticSearch – Kini usa ka libre ug open-source nga search ug analytics engine nga nag-parse ug nag-index sa hilaw nga datos gikan sa lain-laing tinubdan.

Gidawat sa arkitektura ni Graylog ang bisan unsang klase sa structured data lakip ang trapiko sa network ug mga log gikan sa mosunod:

  • Syslog (TCP, UDP, AMQP, Kafka).
  • AWS – AWS logs, CloudTrail, & FlowLogs.
  • Netflow (UDP).
  • GELF (TCP, UDP, AMQP, Kafka).
  • ELK – Beats, ug Logstash.
  • JSON Path gikan sa HTTP API.

Ang pipila sa mga higanteng kompanya sa tech nga nagpatuman sa Graylog sa ilang mga tech stack naglakip sa Fiverr, CircleCI, CraftBase, ug BitPanda.

Niini nga giya, ipakita namo kanimo kung unsaon pag-install ang Graylog log management tool sa RHEL 8 ug RHEL-based distros sama sa AlmaLinux, CentOS Stream, ug Rocky Linux.

Lakang 1: I-install ang EPEL Repo ug Prerequisite Packages

Sa pagsugod, kinahanglan nimo ang pipila ka hinungdanon nga mga pakete nga makatabang sa imong paglihok kauban kini nga giya. Una, i-install ang repositoryo sa EPEL nga naghatag daghang hugpong sa mga pakete sa software alang sa mga distribusyon sa RHEL & RHEL.

$ sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm

Sunod, i-install ang mosunud nga mga pakete nga gikinahanglan sa dalan.

$ sudo dnf install -y pwgen wget curl perl-Digest-SHA

Lakang 2: I-install ang Java (OpenJDK) sa RHEL

Usa sa mga kinahanglanon sa pag-instalar sa Graylog mao ang Java 8 ug sa ulahi nga mga bersyon. Dinhi, atong i-install ang pinakabag-o nga LTS release sa Java nga Java 11 nga ihatag sa OpenJDK 11.

Busa, pagdagan ang mosunod nga sugo aron i-install ang OpenJDK.

$ sudo dnf install java-11-openjdk java-11-openjdk-devel -y

Nag-instalar kini sa mga dependency sa Java ug daghang uban pang mga dependency.

Kung kompleto na ang pag-install, pamatud-i ang bersyon nga na-install.

$ java -version

Lakang 3: I-install ang Elasticsearch sa RHEL

Ang Elasticsearch usa ka libre ug open-source nga search ug analytics nga makina nga nagdumala sa lain-laing mga datos lakip na ang structured, unstructured, numerical, geospatial, ug textual nga datos.

Kini usa ka hinungdanon nga sangkap sa Elastic stack, nailhan usab nga ELK (Elasticsearch, Logstash, ug Kibana), ug kaylap nga gigamit alang sa yano nga REST API, scalability ug katulin.

Ang Graylog nagkinahanglan sa Elasticsearch 6.x o 7.x. Among i-install ang Elasticsearch 7.x nga mao ang pinakabag-o nga pagpagawas sa panahon sa pagmantala niini nga giya.

Paghimo sa Elasticsearch repository file.

$ sudo vim  /etc/yum.repos.d/elasticsearch.repo

Sunod, idikit ang mosunod nga mga linya sa code sa file.

[elasticsearch-7.x]
name=Elasticsearch repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/oss-7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

I-save ang mga pagbag-o ug paggawas.

Sunod, i-install ang Elasticsearch gamit ang DNF package manager sama sa gipakita.

$ sudo dnf install elasticsearch-oss

Aron magtrabaho ang Elasticsearch sa Graylog, gikinahanglan ang pipila ka mga pagbag-o. Busa ablihi ang elasticsearch.yml file.

$ sudo vim /etc/elasticsearch/elasticsearch.yml

I-update ang cluster name sa Graylog sama sa gipakita.

cluster.name: graylog

I-save ang mga pagbag-o ug paggawas.

Unya i-reload ang systemd manager configuration.

$ sudo systemctl daemon-reload

Sunod, pagpagana ug pagsugod sa serbisyo sa Elasticsearch pinaagi sa pagpadagan sa mosunod nga mga sugo.

$ sudo systemctl enable elasticsearch.service
$ sudo systemctl start elasticsearch.service

Ang Elasticsearch naminaw sa port 9200 nga default aron maproseso ang mga hangyo sa HTTP. Mahimo nimong kumpirmahon kini pinaagi sa pagpadala usa ka hangyo sa CURL sama sa gipakita.

$ curl -X GET http://localhost:9200

Lakang 4: I-install ang MongoDB sa RHEL

Gigamit ni Graylog ang database server sa MongoDB aron tipigan ang datos sa pag-configure.

Atong i-install ang MongoDB 4.4, apan una, paghimo og configuration file para sa MongoDB.

$ sudo vim /etc/yum.repos.d/mongodb-org-4.repo

Dayon i-paste ang mosunod nga configuration.

[mongodb-org-4]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/8/mongodb-org/4.4/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-4.4.asc

I-save ang mga pagbag-o ug paggawas.

Sunod, i-install ang MongoDB ingon sa mosunod.

$ sudo dnf install mongodb-org

Kung ma-install, sugdi ug i-enable ang MongoDB nga magsugod sa pagsugod sa sistema.

$ sudo systemctl start mongod
$ sudo systemctl enable mongod

Aron masusi ang bersyon sa MongoDB, padagana ang command:

$ mongo --version

Lakang 5: I-install ang Graylog Server sa RHEL

Uban sa tanan nga gikinahanglan nga mga sangkap nga na-install, karon i-install ang Graylog pinaagi sa pagpadagan sa mosunod nga mga sugo.

$ sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-4.2-repository_latest.rpm
$ sudo dnf install graylog-server

Mahimo nimong pamatud-an ang pag-instalar sa Graylog sama sa gipakita:

$ rpm -qi graylog-server

Karon, sugdi ug himoa ang Graylog server nga magsugod sa oras sa pag-boot.

$ sudo systemctl start graylog-server.service
$ sudo systemctl enable  graylog-server.service

Lakang 6: I-configure ang Graylog Server sa RHEL

Aron molihok ang Graylog sama sa gipaabut, gikinahanglan ang pipila ka dugang nga mga lakang. Kinahanglan nimo nga ipasabut ang mosunud nga mga parameter sa file sa pag-configure:

root_password_sha2 
password_secret
root_username
http_bind_address

Atong ipasabot kini nga mga variable sa /etc/graylog/server/server.conf file nga maoy default configuration file.

Ang root_password_sha2 mao ang hash password alang sa root user. Aron makamugna kini ipadagan ang mosunod nga sugo. Ang [email  kay placeholder lang. Mobati nga gawasnon sa pagtino sa imong kaugalingong password.

$ echo -n [email  | shasum -a 256

Output

68e865af8ddbeffc494508bb6181167fccf0bb7c0cab421c54ef3067bdd8d85d

Timan-i kini nga password ug i-save kini bisan asa.

Sunod, paghimo sa password_secret ingon sa mosunod:

$ pwgen -N 1 -s 96

Output

T1EtSsecY0QE4jIG3t6e96A5qLU5WhS9p5SliveX9kybWjC3WKhN4246oqGYPe4BTLXaaiOcM7LyuSd9bGAonQxkTsTjuqBf

Pag-usab, timan-i kining gi-hash nga password.

Sunod, ablihi ang Graylog configuration file.

$ sudo vim /etc/graylog/server/server.conf

Idikit ang mga kantidad nga imong nahimo para sa root_password_sha2 ug password_secret ingon sa gipakita.

root_username = admin
root_password_sha2 = 68e865af8ddbeffc494508bb6181167fccf0bb7c0cab421c54ef3067bdd8d85d
password_secret = T1EtSsecY0QE4jIG3t6e96A5qLU5WhS9p5SliveX9kybWjC3WKhN4246oqGYPe4BTLXaaiOcM7LyuSd9bGAonQxkTsTjuqBf

Dugang pa, himoa nga ma-access ang Graylog sa mga eksternal nga tiggamit pinaagi sa pagtakda sa parameter nga http_bind_address sama sa mosunod.

http_bind_address = 0.0.0.0:9000

Usab, i-configure ang timezone alang sa Graylog server.

root_timezone = UTC

Pag-save ug paggawas sa configuration file.

Aron magamit ang mga pagbag-o, i-restart ang Graylog server.

$ sudo systemctl restart graylog-server.service

Mahimo nimong kumpirmahon gikan sa mga file sa log ug susihon kung ang Graylog nagdagan sama sa gipaabut.

$ tail -f /var/log/graylog-server/server.log

Ang mosunod nga output sa katapusang linya nagpakita nga ang tanan okay.

Ang Graylog naminaw sa port 9000 nga naghatag og access sa web interface. Busa, ablihi kini nga pantalan sa firewall.

$ sudo firewall-cmd --add-port=9000/tcp  --permanent
$ sudo firewall-cmd --reload

Lakang 7: Pag-access sa Graylog Web UI

Aron ma-access ang Graylog, i-browse ang mosunod nga URL.

http://server-ip:9000
OR
http://domain-name:9000

Log in gamit ang imong username admin ug ang password nga gi-configure para sa root_password_sha2 sa server.conf file.

Kung naka-log in, kinahanglan nimo nga makita ang mosunod nga dashboard.

Gikan dinhi, mahimo nimong ipadayon ang pag-analisar sa datos ug mga troso nga nakolekta gikan sa lainlaing mga gigikanan sa datos.

Ang Graylog nagpadayon nga usa ka sikat nga sentralisadong solusyon sa pagdumala sa log alang sa mga developer ug mga team sa operasyon. Ang pagtuki sa mga nakolekta nga datos naghatag ug lawom nga panabut sa kahimtang sa pagtrabaho sa lainlaing mga aplikasyon ug aparato ug makatabang sa pagpangita sa mga sayup ug pag-optimize sa mga operasyon sa IT.

Kana ra para sa kini nga giya. Sa kini nga panudlo, among gipakita kung giunsa ang pag-install sa Graylog Server sa mga distribusyon sa Linux nga nakabase sa RHEL.