Instalação do Graylog 2.4 no Ubuntu Bionic (18.04)
Introdução
Graylog é uma ótima ferramenta open-source para gerenciamento de logs, desenvolvida por Lennart Koopman. Buscando facilitar a compreensão de informações dos serviços e com interface web. O Graylog extrai dados importantes dos logs do servidor, que geralmente são enviados usando protocolo Syslog.
Componentes:
Para funcionamento do GrayLog, os componentes abaixo precisam ser instalado:
- GrayLog: A versão que vamos usar para instalação será 2.4;
- MongoDB: O MongoDB pode ser instalado na versão atual;
- Elasticsearch: Certas versões do Elasticsearch não é compativel com o GrayLog. Por exemplo, a versão 2.3 não funciona em Elasticsearch 5.x. Neste artigo vamos usar o GrayLog 2.4 com Elasticsearch 5.x(compatível).
Pré-requisitos:
A instalação será feita no Ubuntu Bionic, 4 Gib memória e OpenJDK-8 instalado.
Localização dos arquivos
Graylog
- Configuração: /etc/graylog/server/server.conf;
- Configuração do Loggin: /etc/graylog/server/log4j2.xml;
- Plugins: /usr/share/graylog-server/plugin;
- Configuração JVM: /etc/default/graylog-server;
- Message Journal files : /var/lib/graylog-server/journal;
- Log files: /var/log/graylog-server/.
Elasticsearch
- Configuração: /etc/elasticsearch;
- Configuração JVM : /etc/default/elasticsearch;
- Data files: /var/lib/elasticsearch/data;
- Log files: /var/log/elasticsearch/.
MongoDB
- Configuração: /etc/mongod.conf;
- Data files: /var/lib/mongodb/;
- Log files: /var/log/mongodb/.
Instalando Oracle JDK
Em primeiro lugar, execute apt upgrade para atualizar os pacotes do Ubuntu :
sudo apt update && sudo apt upgrade
Em seguida execute apt install para instalar Oracle JDK e outros pacotes:
sudo apt install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen
Instalando MongoDB
A instalação do MongoDB é bastante simples. Execute o apt-key para importar a GPG Key do MongoDB:
sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 2930ADAE8CAF5059EE73BB4B58712A2291FA4AD5
Em seguida adicione o repositório, atualize e execute apt install para instalação
echo "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.6 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.6.list
sudo apt-get update
sudo apt-get install -y mongodb-org
Após a instalação do mongodb habilite o serviço para iniciar durante startup:
sudo systemctl daemon-reload
sudo systemctl enable mongod.service
Em seguide inicie o serviço:
sudo systemctl start mongod.service sudo systemctl status mongod Active: active (running) since Wed 2018-11-07 16:52:30 UTC; 4s ago
Instalando Elasticsearch
GrayLog 2.4.x requer Elasticsearch 5.x para fazer o download e instalação execute os comandos abaixo:
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list
sudo apt-get update && sudo apt-get install elasticsearch
Após a instalação do elasticsearch precisamos descomentar a linha cluster.name e setar um nome para o cluster:
sudo vim /etc/elasticsearch/elasticsearch.yml
cluster.name: graylog-lab
Adicione nas últimas linhas do arquivo elasticsearch.yml as recomendações de segurança informado na documentação do Elasticsearch:
script.inline: false
script.stored: false
script.file: false
Em seguida, habilite o serviço para iniciar durante startup:
sudo systemctl daemon-reload
sudo systemctl enable elasticsearch.service
Em seguide inicie o serviço:
sudo systemctl restart elasticsearch.service sudo systemctl status elasticsearch Active: active (running) since Wed 2018-11-07 17:14:55 UTC; 4min 19s ago
Para testar o elasticsearch, execute curl na porta 9200:
curl -XGET 'http://localhost:9200'
Instalando GrayLog
“Chegou o momento esperado..”
Após ter feito a instalação do MongoDB e Elasticsearch, vamos iniciar a instalação do Graylog \o/. Em primeiro lugar, baixe pacote referente ao repositório do Graylog em seguida execute dpkg para instalar o pacote e apt install para instalar o graylog-server:
wget https://packages.graylog2.org/repo/packages/graylog-2.4-repository_latest.deb
sudo dpkg -i graylog-2.4-repository_latest.deb
sudo apt-get update && sudo apt-get install graylog-server
É necessário gerar um password random . Você pode gerar este password executando pwgen.
pwgen -s 96 1
Após gerar o password random, edite o arquivo /etc/graylog/server/server.conf e adicione em password_secret:
sudo vim /etc/graylog/server/server.conf
password_secret = YJBIXm0tGdLbjlkLokS8jMAebqvkN0hUW7M2PAkuuh5y7aL1G9nNTpu4GDIe5Iaqnw9tiBZ1lOgZar63yLe7vG6iWlTo01zW
Gere outra senha em formato shasum e adicionar em root_password_sha2( esta senha será do usuário admin). Onde estiver PASS_ROOT_SHA2 insira uma senha :
echo -n <PASS_ROOT_SHA2> | shasum -a 256
Em seguida edite o arquivo /etc/graylog/server/server.conf e adicione a senha criada em root_password_sha2:
sudo vim /etc/graylog/server/server.conf
root_password_sha2 = 8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92
Após gerar as senhas referente ao root_password_sha2 e password_secret, adicione o IP do servidor nos paramêtros rest_listen_uri e web_listen_uri:
rest_listen_uri = http://192.168.33.12:9000/api/
web_listen_uri = http://192.168.33.12:9000/
Em seguida, habilite o serviço para iniciar durante startup:
sudo systemctl daemon-reload
sudo systemctl enable graylog-server.service
Depois, inicie o serviço:
sudo systemctl start graylog-server.service
Aguarde alguns instantes e acessa pelo Browser http://<ip_servidor>:9000, usuário: Admin e senha: gerada via shasum
Instalação do GrayLog finalizada.
O próximo passo é configurar o Graylog para receber mensagens do syslog.
Fonte:https://www.elastic.co/guide/en/elasticsearch/reference/5.5/modules-scripting-security.html
http://docs.graylog.org/en/2.4/pages/installation/os/ubuntu.html