Graylog est une solution de gestion de journaux open source leader du secteur pour la collecte, le stockage, l’indexation et l’analyse de données en temps réel à partir d’applications et d’une myriade d’appareils dans des infrastructures informatiques telles que des serveurs, des routeurs et des pare-feu.

Graylog vous aide à mieux comprendre les données collectées en combinant plusieurs recherches pour une analyse et des rapports détaillés. Il détecte également les menaces et les éventuelles activités malveillantes en procédant à une analyse approfondie des journaux provenant de sources distantes.

Graylog comprend les éléments suivants :

• Le serveur Graylog – Il s’agit du serveur principal et est utilisé pour le traitement des journaux.
• L’interface Web Graylog – Il s’agit d’une application de navigateur qui donne un aperçu des données et des journaux collectés à partir de plusieurs points de terminaison.
• MongoDB – Un serveur de base de données NoSQL pour stocker les données de configuration.
• ElasticSearch – Il s’agit d’un moteur de recherche et d’analyse gratuit et open source qui analyse et indexe les données brutes provenant de diverses sources.

L’architecture de Graylog accepte tout type de données structurées, y compris le trafic réseau et les journaux des éléments suivants :

• Syslog (TCP, UDP, AMQP, Kafka).
• AWS – Journaux AWS, CloudTrail et FlowLogs.
• Flux net (UDP).
• GELF (TCP, UDP, AMQP, Kafka).
• ELK – Beats et Logstash.
• Chemin JSON de l’API HTTP.

Certaines des entreprises technologiques géantes qui mettent en œuvre Graylog dans leurs piles technologiques incluent Fiverr, CercleCI, CraftBaseet BitPanda.

Dans ce guide, nous allons vous montrer comment installer le Graylog outil de gestion des journaux sur RHEL 8 et les distributions basées sur RHEL comme AlmaLinux, Flux CentOS, et Rocheux Linux.

Étape 1 : Installer le référentiel EPEL et les packages prérequis

Pour commencer, vous avez besoin de quelques packages essentiels qui vous seront utiles au fur et à mesure que vous avancerez dans ce guide. Tout d’abord, installez le EPEL référentiel qui fournit un riche ensemble de progiciels pour RHEL & RHEL distributions.

$ sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm

Ensuite, installez les packages suivants qui seront nécessaires en cours de route.

$ sudo dnf install -y pwgen wget curl perl-Digest-SHA

Étape 2 : Installer Java (OpenJDK) dans RHEL

L’une des conditions préalables à l’installation Graylog est Java 8 et versions ultérieures. Ici, nous allons installer la dernière version LTS de Java lequel est Java 11 qui sera fourni par OpenJDK 11.

Par conséquent, exécutez la commande suivante pour installer OpenJDK.

$ sudo dnf install java-11-openjdk java-11-openjdk-devel -y

Cela installe Java dépendances et une foule d’autres dépendances.

Une fois l’installation terminée, vérifiez la version installée.

$ java -version

Étape 3 : Installer Elasticsearch dans RHEL

Recherche élastique est un moteur de recherche et d’analyse gratuit et open source qui gère une grande variété de données, notamment des données structurées, non structurées, numériques, géospatiales et textuelles.

Il s’agit d’un composant clé de la pile Elastic, également appelée WAPITI (Elasticsearch, Logstash et Kibana), et est largement utilisé pour ses API REST simples, son évolutivité et sa rapidité.

Graylog a besoin Recherche élastique 6.x ou 7.x. Nous installerons Recherche élastique 7.x qui est la dernière version au moment de la publication de ce guide.

Créer le Recherche élastique fichier de référentiel.

$ sudo vim  /etc/yum.repos.d/elasticsearch.repo

Ensuite, collez les lignes de code suivantes dans le fichier.

[elasticsearch-7.x]
name=Elasticsearch repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/oss-7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

Enregistrez les modifications et quittez.

Ensuite, installez Recherche élastique en utilisant le gestionnaire de packages DNF comme indiqué.

$ sudo dnf install elasticsearch-oss

Pour Recherche élastique travailler avec Graylog, quelques modifications sont nécessaires. Alors ouvrez le elasticsearch.yml dossier.

$ sudo vim /etc/elasticsearch/elasticsearch.yml

Mettez à jour le nom du cluster sur Graylog comme indiqué.

cluster.name: graylog

Enregistrez les modifications et quittez.

Rechargez ensuite la configuration du gestionnaire systemd.

$ sudo systemctl daemon-reload

Ensuite, activez et démarrez le Recherche élastique service en exécutant les commandes suivantes.

$ sudo systemctl enable elasticsearch.service
$ sudo systemctl start elasticsearch.service

Elasticsearch écoute le port 9200 par défaut pour traiter HTTP demandes. Vous pouvez le confirmer en envoyant un BOUCLE demande comme indiqué.

$ curl -X GET http://localhost:9200

Étape 4 : Installer MongoDB dans RHEL

Graylog utilise un MongoDB serveur de base de données pour stocker les données de configuration.

Nous installerons MongoDB 4.4mais d’abord, créez un fichier de configuration pour MongoDB.

$ sudo vim /etc/yum.repos.d/mongodb-org-4.repo

Collez ensuite la configuration suivante.

[mongodb-org-4]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/8/mongodb-org/4.4/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-4.4.asc

Enregistrez les modifications et quittez.

Ensuite, installez MongoDB comme suit.

$ sudo dnf install mongodb-org

Une fois installé, démarrez et activez MongoDB pour qu’il démarre au démarrage du système.

$ sudo systemctl start mongod
$ sudo systemctl enable mongod

Pour vérifier la version de MongoDB, exécutez la commande :

$ mongo --version

Étape 5 : Installez le serveur Graylog dans RHEL

Avec tous les composants prérequis installés, installez maintenant Graylog en exécutant les commandes suivantes.

$ sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-4.2-repository_latest.rpm
$ sudo dnf install graylog-server

Vous pouvez vérifier l’installation de Graylog comme montré:

$ rpm -qi graylog-server

Maintenant, démarrez et activez le Graylog serveur pour démarrer au moment du démarrage.

$ sudo systemctl start graylog-server.service
$ sudo systemctl enable  graylog-server.service

Étape 6 : Configurer le serveur Graylog dans RHEL

Pour Graylog pour fonctionner comme prévu, certaines étapes supplémentaires sont nécessaires. Vous devez définir les paramètres suivants dans le fichier de configuration :

root_password_sha2 
password_secret
root_username
http_bind_address

Nous définirons ces variables dans la /etc/graylog/server/server.conf fichier qui est le fichier de configuration par défaut.

Le root_password_sha2 est le mot de passe de hachage pour l’utilisateur root. Pour le générer, exécutez la commande suivante. Le [email protected] n’est qu’un espace réservé. N’hésitez pas à spécifier votre propre mot de passe.

$ echo -n [email protected] | shasum -a 256

Production

68e865af8ddbeffc494508bb6181167fccf0bb7c0cab421c54ef3067bdd8d85d

Notez ce mot de passe et enregistrez-le quelque part.

Ensuite, générez le mot_de_passe_secret comme suit:

$ pwgen -N 1 -s 96

Production

T1EtSsecY0QE4jIG3t6e96A5qLU5WhS9p5SliveX9kybWjC3WKhN4246oqGYPe4BTLXaaiOcM7LyuSd9bGAonQxkTsTjuqBf

Encore une fois, prenez note de ce mot de passe haché.

Ensuite, ouvrez le fichier de configuration Graylog.

$ sudo vim /etc/graylog/server/server.conf

Collez les valeurs que vous avez générées pour root_password_sha2 et mot_de_passe_secret comme montré.

root_username = admin
root_password_sha2 = 68e865af8ddbeffc494508bb6181167fccf0bb7c0cab421c54ef3067bdd8d85d
password_secret = T1EtSsecY0QE4jIG3t6e96A5qLU5WhS9p5SliveX9kybWjC3WKhN4246oqGYPe4BTLXaaiOcM7LyuSd9bGAonQxkTsTjuqBf

De plus, faites Graylog accessible par les utilisateurs externes en définissant le http_bind_address paramètre comme suit.

http_bind_address = 0.0.0.0:9000

Configurez également le fuseau horaire pour le Graylog serveur.

root_timezone = UTC

Enregistrez et quittez le fichier de configuration.

Pour appliquer les modifications, redémarrez le Graylog serveur.

$ sudo systemctl restart graylog-server.service

Vous pouvez confirmer à partir des fichiers journaux et vérifier si Graylog fonctionne comme prévu.

$ tail -f /var/log/graylog-server/server.log

La sortie suivante à la dernière ligne montre que tout va bien.

Graylog écoute sur le port 9000 qui donne accès à l’interface web. Alors, ouvrez ce port sur le pare-feu.

$ sudo firewall-cmd --add-port=9000/tcp  --permanent
$ sudo firewall-cmd --reload

Étape 7 : Accéder à l’interface utilisateur Web Graylog

Accéder Graylogparcourez l’URL suivante.

http://server-ip:9000
OR
http://domain-name:9000

Connectez-vous avec votre nom d’utilisateur admin et le mot de passe configuré pour root_password_sha2 dans le serveur.conf dossier.

Une fois connecté, vous devriez voir le tableau de bord suivant.

À partir de là, vous pouvez procéder à l’analyse des données et des journaux collectés à partir de diverses sources de données.

Graylog continue d’être une solution de gestion centralisée des journaux populaire pour les développeurs et les équipes d’exploitation. L’analyse des données collectées fournit des informations approfondies sur l’état de fonctionnement de diverses applications et appareils et aide à détecter les erreurs et à optimiser les opérations informatiques.

C’est tout pour ce guide. Dans ce tutoriel, nous avons montré comment installer Serveur Graylog sur les distributions Linux basées sur RHEL.