Graylog est une solution de gestion de journaux open source leader du secteur pour la collecte, le stockage, l’indexation et l’analyse de données en temps réel à partir d’applications et d’une myriade d’appareils dans des infrastructures informatiques telles que des serveurs, des routeurs et des pare-feu.
Graylog vous aide à mieux comprendre les données collectées en combinant plusieurs recherches pour une analyse et des rapports détaillés. Il détecte également les menaces et les éventuelles activités malveillantes en procédant à une analyse approfondie des journaux provenant de sources distantes.
Graylog comprend les éléments suivants :
- Le serveur Graylog – Il s’agit du serveur principal et est utilisé pour le traitement des journaux.
- L’interface Web Graylog – Il s’agit d’une application de navigateur qui donne un aperçu des données et des journaux collectés à partir de plusieurs points de terminaison.
- MongoDB – Un serveur de base de données NoSQL pour stocker les données de configuration.
- ElasticSearch – Il s’agit d’un moteur de recherche et d’analyse gratuit et open source qui analyse et indexe les données brutes provenant de diverses sources.
L’architecture de Graylog accepte tout type de données structurées, y compris le trafic réseau et les journaux des éléments suivants :
- Syslog (TCP, UDP, AMQP, Kafka).
- AWS – Journaux AWS, CloudTrail et FlowLogs.
- Flux net (UDP).
- GELF (TCP, UDP, AMQP, Kafka).
- ELK – Beats et Logstash.
- Chemin JSON de l’API HTTP.
Certaines des entreprises technologiques géantes qui mettent en œuvre Graylog dans leurs piles technologiques incluent Fiverr, CercleCI, CraftBaseet BitPanda.
Dans ce guide, nous allons vous montrer comment installer le Graylog outil de gestion des journaux sur RHEL 8 et les distributions basées sur RHEL comme AlmaLinux, Flux CentOS, et Rocheux Linux.
Étape 1 : Installer le référentiel EPEL et les packages prérequis
Pour commencer, vous avez besoin de quelques packages essentiels qui vous seront utiles au fur et à mesure que vous avancerez dans ce guide. Tout d’abord, installez le EPEL référentiel qui fournit un riche ensemble de progiciels pour RHEL & RHEL distributions.
$ sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm
Ensuite, installez les packages suivants qui seront nécessaires en cours de route.
$ sudo dnf install -y pwgen wget curl perl-Digest-SHA
Étape 2 : Installer Java (OpenJDK) dans RHEL
L’une des conditions préalables à l’installation Graylog est Java 8 et versions ultérieures. Ici, nous allons installer la dernière version LTS de Java lequel est Java 11 qui sera fourni par OpenJDK 11.
Par conséquent, exécutez la commande suivante pour installer OpenJDK.
$ sudo dnf install java-11-openjdk java-11-openjdk-devel -y
Cela installe Java dépendances et une foule d’autres dépendances.
Une fois l’installation terminée, vérifiez la version installée.
$ java -version
Étape 3 : Installer Elasticsearch dans RHEL
Recherche élastique est un moteur de recherche et d’analyse gratuit et open source qui gère une grande variété de données, notamment des données structurées, non structurées, numériques, géospatiales et textuelles.
Il s’agit d’un composant clé de la pile Elastic, également appelée WAPITI (Elasticsearch, Logstash et Kibana), et est largement utilisé pour ses API REST simples, son évolutivité et sa rapidité.
Graylog a besoin Recherche élastique 6.x ou 7.x. Nous installerons Recherche élastique 7.x qui est la dernière version au moment de la publication de ce guide.
Créer le Recherche élastique fichier de référentiel.
$ sudo vim /etc/yum.repos.d/elasticsearch.repo
Ensuite, collez les lignes de code suivantes dans le fichier.
[elasticsearch-7.x] name=Elasticsearch repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/oss-7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md
Enregistrez les modifications et quittez.
Ensuite, installez Recherche élastique en utilisant le gestionnaire de packages DNF comme indiqué.
$ sudo dnf install elasticsearch-oss
Pour Recherche élastique travailler avec Graylog, quelques modifications sont nécessaires. Alors ouvrez le elasticsearch.yml dossier.
$ sudo vim /etc/elasticsearch/elasticsearch.yml
Mettez à jour le nom du cluster sur Graylog comme indiqué.
cluster.name: graylog
Enregistrez les modifications et quittez.
Rechargez ensuite la configuration du gestionnaire systemd.
$ sudo systemctl daemon-reload
Ensuite, activez et démarrez le Recherche élastique service en exécutant les commandes suivantes.
$ sudo systemctl enable elasticsearch.service $ sudo systemctl start elasticsearch.service
Elasticsearch écoute le port 9200 par défaut pour traiter HTTP demandes. Vous pouvez le confirmer en envoyant un BOUCLE demande comme indiqué.
$ curl -X GET http://localhost:9200
Étape 4 : Installer MongoDB dans RHEL
Graylog utilise un MongoDB serveur de base de données pour stocker les données de configuration.
Nous installerons MongoDB 4.4mais d’abord, créez un fichier de configuration pour MongoDB.
$ sudo vim /etc/yum.repos.d/mongodb-org-4.repo
Collez ensuite la configuration suivante.
[mongodb-org-4] name=MongoDB Repository baseurl=https://repo.mongodb.org/yum/redhat/8/mongodb-org/4.4/x86_64/ gpgcheck=1 enabled=1 gpgkey=https://www.mongodb.org/static/pgp/server-4.4.asc
Enregistrez les modifications et quittez.
Ensuite, installez MongoDB comme suit.
$ sudo dnf install mongodb-org
Une fois installé, démarrez et activez MongoDB pour qu’il démarre au démarrage du système.
$ sudo systemctl start mongod $ sudo systemctl enable mongod
Pour vérifier la version de MongoDB, exécutez la commande :
$ mongo --version
Étape 5 : Installez le serveur Graylog dans RHEL
Avec tous les composants prérequis installés, installez maintenant Graylog en exécutant les commandes suivantes.
$ sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-4.2-repository_latest.rpm $ sudo dnf install graylog-server
Vous pouvez vérifier l’installation de Graylog comme montré:
$ rpm -qi graylog-server
Maintenant, démarrez et activez le Graylog serveur pour démarrer au moment du démarrage.
$ sudo systemctl start graylog-server.service $ sudo systemctl enable graylog-server.service
Étape 6 : Configurer le serveur Graylog dans RHEL
Pour Graylog pour fonctionner comme prévu, certaines étapes supplémentaires sont nécessaires. Vous devez définir les paramètres suivants dans le fichier de configuration :
root_password_sha2 password_secret root_username http_bind_address
Nous définirons ces variables dans la /etc/graylog/server/server.conf fichier qui est le fichier de configuration par défaut.
Le root_password_sha2 est le mot de passe de hachage pour l’utilisateur root. Pour le générer, exécutez la commande suivante. Le [email protected] n’est qu’un espace réservé. N’hésitez pas à spécifier votre propre mot de passe.
$ echo -n [email protected] | shasum -a 256
Production
68e865af8ddbeffc494508bb6181167fccf0bb7c0cab421c54ef3067bdd8d85d
Notez ce mot de passe et enregistrez-le quelque part.
Ensuite, générez le mot_de_passe_secret comme suit:
$ pwgen -N 1 -s 96
Production
T1EtSsecY0QE4jIG3t6e96A5qLU5WhS9p5SliveX9kybWjC3WKhN4246oqGYPe4BTLXaaiOcM7LyuSd9bGAonQxkTsTjuqBf
Encore une fois, prenez note de ce mot de passe haché.
Ensuite, ouvrez le fichier de configuration Graylog.
$ sudo vim /etc/graylog/server/server.conf
Collez les valeurs que vous avez générées pour root_password_sha2 et mot_de_passe_secret comme montré.
root_username = admin root_password_sha2 = 68e865af8ddbeffc494508bb6181167fccf0bb7c0cab421c54ef3067bdd8d85d password_secret = T1EtSsecY0QE4jIG3t6e96A5qLU5WhS9p5SliveX9kybWjC3WKhN4246oqGYPe4BTLXaaiOcM7LyuSd9bGAonQxkTsTjuqBf
De plus, faites Graylog accessible par les utilisateurs externes en définissant le http_bind_address paramètre comme suit.
http_bind_address = 0.0.0.0:9000
Configurez également le fuseau horaire pour le Graylog serveur.
root_timezone = UTC
Enregistrez et quittez le fichier de configuration.
Pour appliquer les modifications, redémarrez le Graylog serveur.
$ sudo systemctl restart graylog-server.service
Vous pouvez confirmer à partir des fichiers journaux et vérifier si Graylog fonctionne comme prévu.
$ tail -f /var/log/graylog-server/server.log
La sortie suivante à la dernière ligne montre que tout va bien.
Graylog écoute sur le port 9000 qui donne accès à l’interface web. Alors, ouvrez ce port sur le pare-feu.
$ sudo firewall-cmd --add-port=9000/tcp --permanent $ sudo firewall-cmd --reload
Étape 7 : Accéder à l’interface utilisateur Web Graylog
Accéder Graylogparcourez l’URL suivante.
http://server-ip:9000 OR http://domain-name:9000
Connectez-vous avec votre nom d’utilisateur admin et le mot de passe configuré pour root_password_sha2 dans le serveur.conf dossier.
Une fois connecté, vous devriez voir le tableau de bord suivant.
À partir de là, vous pouvez procéder à l’analyse des données et des journaux collectés à partir de diverses sources de données.
Graylog continue d’être une solution de gestion centralisée des journaux populaire pour les développeurs et les équipes d’exploitation. L’analyse des données collectées fournit des informations approfondies sur l’état de fonctionnement de diverses applications et appareils et aide à détecter les erreurs et à optimiser les opérations informatiques.
C’est tout pour ce guide. Dans ce tutoriel, nous avons montré comment installer Serveur Graylog sur les distributions Linux basées sur RHEL.