Graylog Log Dolandyryş Guralyny RHEL ulgamlarynda nädip gurmaly

Graylog, amaly programmalardan we serwerler, marşrutizatorlar we diwar diwarlary ýaly IT infrastrukturasyndaky hakyky maglumatlary ýygnamak, saklamak, indeksirlemek we derňemek üçin pudaklaýyn öňdebaryjy açyk gündelik dolandyryş çözgüdi.

Graylog, jikme-jik derňew we hasabat bermek üçin birnäçe gözlegleri birleşdirip, toplanan maglumatlar barada has köp düşünje almaga kömek edýär. Şeýle hem, uzakdaky çeşmelerden surnallary çuňňur seljermek arkaly howplary we bolup biläýjek düýpli işleri ýüze çykarýar.

Graylog aşakdakylary öz içine alýar:

  • Graylog Serweri - Bu esasy serwer we surnallary gaýtadan işlemek üçin ulanylýar.
  • Graylog web interfeýsi - Bu, soňky nokatlardan ýygnan maglumatlara we surnallara göz aýlaýan brauzer programmasy.
  • MongoDB - konfigurasiýa maglumatlary saklamak üçin NoSQL maglumat bazasy serweri.
  • ElasticSearch - Bu dürli çeşmelerden çig maglumatlary derňeýän we indeksleýän erkin we açyk çeşme gözleg we seljeriş motory.

Graylog-yň arhitekturasy, tor trafigini we aşakdakylardan hasaba alnan maglumatlary öz içine alýan islendik görnüşli maglumatlary kabul edýär:

  • Syslog (TCP, UDP, AMQP, Kafka).
  • AWS - AWS surnallary, CloudTrail we FlowLogs.
  • Netflow (UDP).
  • GELF (TCP, UDP, AMQP, Kafka).
  • ELK - Beats we Logstash.
  • HTTP API-den JSON ýoly.

“Graylog” -y tehnologiýa toplumlarynda durmuşa geçirýän ägirt uly tehnologiýa kompaniýalarynyň arasynda Fiverr, CircleCI, CraftBase we BitPanda bar.

Bu gollanmada, Graylog log dolandyryş guralyny RHEL 8 we AlmaLinux, CentOS Stream we Rocky Linux ýaly RHEL esasly distrolara nädip gurmalydygyny görkezeris.

1-nji ädim: EPEL Repo we Zerur paketleri guruň

Başlamak üçin size käbir gollanmalar gerek, bu gollanma bilen bilelikde hereket edeniňizde peýdaly bolar. Ilki bilen, RHEL & RHEL paýlamalary üçin baý programma üpjünçiliginiň toplumyny üpjün edýän EPEL ammaryny guruň.

$ sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm

Ondan soň, ýolda zerur boljak aşakdaky paketleri guruň.

$ sudo dnf install -y pwgen wget curl perl-Digest-SHA

2-nji ädim: RHEL-de Java (OpenJDK) guruň

“Graylog” -y gurmagyň deslapky şertlerinden biri “Java 8” we soňraky wersiýalarydyr. Bu ýerde, OpenJDK 11 tarapyndan üpjün ediljek Java 11-iň iň soňky LTS goýberilişini gurmakçy.

Şonuň üçin OpenJDK gurmak üçin aşakdaky buýrugy işlediň.

$ sudo dnf install java-11-openjdk java-11-openjdk-devel -y

Bu, Java garaşlylygyny we başga-da köp garaşlylygy gurýar.

Gurmak gutaransoň, gurlan wersiýany barlaň.

$ java -version

3-nji ädim: “RHEL” -e “Elasticsearch” guruň

“Elasticsearch” erkin we açyk çeşme gözleg we seljeriş motory bolup, gurluşly, gurulmadyk, san, geosfera we tekst maglumatlary ýaly köp dürli maglumatlary dolandyrýar.

ELK (Elasticsearch, Logstash we Kibana) diýlip hem atlandyrylýan Elastik stakanyň esasy düzüm bölegi bolup, ýönekeý REST API-leri, ulalmagy we tizligi üçin giňden ulanylýar.

Graylog Elasticsearch 6.x ýa-da 7.x talap edýär. Bu gollanmany çap eden wagty iň soňky çykan Elasticsearch 7.x gurarys.

“Elasticsearch” ammar faýly dörediň.

$ sudo vim  /etc/yum.repos.d/elasticsearch.repo

Ondan soň aşakdaky kod setirlerini faýla goýuň.

[elasticsearch-7.x]
name=Elasticsearch repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/oss-7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

Üýtgeşmeleri ýazdyryň we çykyň.

Ondan soň, görkezilişi ýaly DNF paket dolandyryjysyny ulanyp, Elasticsearch guruň.

$ sudo dnf install elasticsearch-oss

“Elasticsearch” -yň “Graylog” bilen işlemegi üçin birnäçe üýtgeşme zerur. Şonuň üçin elasticsearch.yml faýly açyň.

$ sudo vim /etc/elasticsearch/elasticsearch.yml

Klaster adyny görkezilişi ýaly Graylog-a täzeläň.

cluster.name: graylog

Üýtgeşmeleri ýazdyryň we çykyň.

Soňra systemd dolandyryjy konfigurasiýasyny täzeden açyň.

$ sudo systemctl daemon-reload

Ondan soň, aşakdaky buýruklary işledip, “Elasticsearch” hyzmatyny işlediň we başlaň.

$ sudo systemctl enable elasticsearch.service
$ sudo systemctl start elasticsearch.service

“Elasticsearch”, HTTP isleglerini gaýtadan işlemek üçin 9200 porty diňleýär. Muny görkezilişi ýaly CURL haýyşyny iberip tassyklap bilersiňiz.

$ curl -X GET http://localhost:9200

4-nji ädim: Rongo-de MongoDB guruň

Graylog, konfigurasiýa maglumatlary saklamak üçin MongoDB maglumat bazasy serwerini ulanýar.

MongoDB 4.4 gurarys, ýöne ilki bilen MongoDB üçin konfigurasiýa faýly dörederis.

$ sudo vim /etc/yum.repos.d/mongodb-org-4.repo

Soňra aşakdaky konfigurasiýany goýuň.

[mongodb-org-4]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/8/mongodb-org/4.4/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-4.4.asc

Üýtgeşmeleri ýazdyryň we çykyň.

Ondan soň, MongoDB-i aşakdaky ýaly guruň.

$ sudo dnf install mongodb-org

Gurlandan soň, MongoDB-i ulgam işe başlamaga başlaň we işlediň.

$ sudo systemctl start mongod
$ sudo systemctl enable mongod

MongoDB wersiýasyny barlamak üçin buýrugy işlediň:

$ mongo --version

5-nji ädim: Graylog serwerini RHEL-de guruň

Allhli zerur şertler gurlansoň, aşakdaky buýruklary işledip Graylog-y guruň.

$ sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-4.2-repository_latest.rpm
$ sudo dnf install graylog-server

Graylog-yň gurnamasyny görkezilişi ýaly barlap bilersiňiz:

$ rpm -qi graylog-server

Indi, Graylog serwerini işe başlaň we işlediň.

$ sudo systemctl start graylog-server.service
$ sudo systemctl enable  graylog-server.service

6-njy ädim: Graylog serwerini RHEL-de sazlaň

Graylog-yň garaşylyşy ýaly işlemegi üçin käbir goşmaça ädimler zerurdyr. Sazlama faýlynda aşakdaky parametrleri kesgitlemeli:

root_password_sha2 
password_secret
root_username
http_bind_address

Bu üýtgeýjileri deslapky konfigurasiýa faýly bolan /etc/graylog/server/server.conf faýlynda kesgitläris.

Root_password_sha2 kök ulanyjy üçin hash parolydyr. Ony döretmek üçin aşakdaky buýrugy işlediň. [E-poçta bilen goralan] diňe ýer eýesi. Öz parolyňyzy görkezip bilersiňiz.

$ echo -n [email  | shasum -a 256

Çykyş

68e865af8ddbeffc494508bb6181167fccf0bb7c0cab421c54ef3067bdd8d85d

Bu paroly belläň we bir ýerde saklaň.

Ondan soň, parol_ gizlinini aşakdaky ýaly dörediň:

$ pwgen -N 1 -s 96

Çykyş

T1EtSsecY0QE4jIG3t6e96A5qLU5WhS9p5SliveX9kybWjC3WKhN4246oqGYPe4BTLXaaiOcM7LyuSd9bGAonQxkTsTjuqBf

Againene-de bu ýuwulan parolyňyza üns beriň.

Ondan soň, Graylog konfigurasiýa faýlyny açyň.

$ sudo vim /etc/graylog/server/server.conf

Root_password_sha2 we parol_secret üçin döreden bahalaryňyzy görkezilişi ýaly goýuň.

root_username = admin
root_password_sha2 = 68e865af8ddbeffc494508bb6181167fccf0bb7c0cab421c54ef3067bdd8d85d
password_secret = T1EtSsecY0QE4jIG3t6e96A5qLU5WhS9p5SliveX9kybWjC3WKhN4246oqGYPe4BTLXaaiOcM7LyuSd9bGAonQxkTsTjuqBf

Mundan başga-da, “Graylog” -y http_bind_address parametrini aşakdaky ýaly düzüp, daşarky ulanyjylar tarapyndan elýeterli ediň.

http_bind_address = 0.0.0.0:9000

Şeýle hem, Graylog serweri üçin wagt guşagyny düzüň.

root_timezone = UTC

Sazlama faýly ýazdyryň we çykyň.

Üýtgeşmeleri ulanmak üçin Graylog serwerini täzeden açyň.

$ sudo systemctl restart graylog-server.service

Fileurnal faýllaryndan tassyklap, Graylog-yň garaşylyşy ýaly işleýändigini ýa-da ýokdugyny barlap bilersiňiz.

$ tail -f /var/log/graylog-server/server.log

Iň soňky setirdäki aşakdaky çykyş hemme zadyň gowudygyny görkezýär.

Graylog, web interfeýsine girmegi üpjün edýän 9000 portda diňleýär. Şeýlelik bilen, bu porty gorag diwarynda açyň.

$ sudo firewall-cmd --add-port=9000/tcp  --permanent
$ sudo firewall-cmd --reload

7-nji ädim: Graylog Web UI-ä giriň

Graylog-a girmek üçin aşakdaky URL-e göz aýlaň.

http://server-ip:9000
OR
http://domain-name:9000

Ulanyjy adyňyz administratory we server.conf faýlynda root_password_sha2 üçin düzülen parol bilen giriň.

Gireniňizden soň, aşakdaky dolandyryş panelini görmeli.

Bu ýerden dürli maglumatlar çeşmelerinden toplanan maglumatlary we surnallary seljermek bilen dowam edip bilersiňiz.

Graylog döredijiler we operasiýa toparlary üçin meşhur merkezleşdirilen gündelik dolandyryş çözgüdi bolmagyny dowam etdirýär. Collectedygnalan maglumatlaryň derňewi dürli programmalaryň we enjamlaryň iş ýagdaýy barada çuňňur düşünje berýär we ýalňyşlyklary tapmaga we IT amallaryny optimizirlemäge kömek edýär.

Bularyň hemmesi şu gollanma üçin. Bu gollanmada, RHEL esasly Linux paýlamalarynda Graylog Server-i nädip gurmalydygyny görkezdik.