Ubuntu 16.04上安装配置 Graylog 2 日志管理系统

498次阅读

共计 3979 个字符，预计需要花费 10 分钟才能阅读完成。

Graylog 是一款开源的日志管理系统，可以从任何来源解析和丰富日志消息，有线和事件数据，从而为第三方收集器（如 fluentd，beats 和 nxlog）提供集中式配置管理系统。例如，使用 Graylog 可以丰富使用从 IP 地址转换的地理坐标的日志消息，或将用户 ID 映射到用户名。

Graylog 最著名的功能包括：

中央日志管理系统，使您的团队可以访问运行时配置和日志数据，而无需接触 Graylog 服务器。
将用户分组到角色以简化权限管理。Graylog 有一个非常强大的系统来限制用户的数据访问，这真的很方便。
LDAP 集成
REST API 用于编程日志访问数据。

本教程将介绍运行 Ubuntu 16.04 的机器上安装 Graylog 和基本配置。

先决条件

一台运行 Ubuntu 16.04 至少有 2GB RAM 的服务器。
MongoDB. http://www.linuxidc.com/Linux/2017-07/145526.htm
Elasticsearch 2.x. http://www.linuxidc.com/Linux/2017-07/145588.htm
Oracle JDK 8. http://www.linuxidc.com/Linux/2017-07/145563.htm

如果您的系统符合上述先决条件，则可以启动 Graylog 2 安装过程。

运行命令更新服务器：

$ sudo apt-get update && sudo apt-get upgrade
$ sudo apt-get install apt-transport-https uuid-runtime pwgen

如上所述，Graylog 2.0.0（及更高版本）需要 Elasticsearch 2.x. 您需要修改 Elastisearch 配置文件：/etc/elasticsearch/elasticsearch.yml，设置集群名称，使其与 Graylog 配置文件中的集合名称相匹配。在本教程中，选择的群集名称为 graylog。

使用文本编辑器，打开 Elasticsearch 配置文件：

$ sudo $EDITOR /etc/elasticsearch/elasticsearch.yml

搜索 cluster.name 行并取消注释。接下来，修改如下：

# ---------------------------------- Cluster -----------------------------------
#
# Use a descriptive name for your cluster:
#
 cluster.name: graylog
#

保存并关闭文件，然后重新启动 Elasticsearch 服务：

$ sudo systemctl restart elasticsearch

一旦服务器配置完成，我们可以转到 Graylog 安装。使用以下命令配置 Graylog 存储库：

$ wget https://packages.graylog2.org/repo/packages/graylog-2.2-repository_latest.deb
$ sudo dpkg -i graylog-2.2-repository_latest.deb

接下来，安装包：

$ sudo apt-get update && sudo apt-get install graylog-server

在安装过程结束时，启用 Graylog 以在引导时启动：

$ systemclt enable graylog-server

在启动 Graylog 之前，我们需要配置它。

Graylog 配置文件是 /etc/graylog/server/server.conf。在我们可以启动日志管理程序之前，必须先编辑这个文件中的一些参数。

首先，我们需要设置 password_secret 值。这个长度必须至少为 64 个字符。我们将使用 pwgen 生成它。

您可以使用 apt 安装此工具：

$ sudo apt-get install pwgen

接下来，使用 sed，我们将生成的字符直接写入到 Graylog 配置文件中：

$ sudo -E sed -i -e "s/password_secret =.*/password_secret = $(pwgen -N 1 -s 128)/" /etc/graylog/server/server.conf

为了检查一切是否正确完成，请使用以下代码：

$ cat /etc/graylog/server/server.conf | grep password_secret

该命令应显示 password_secret 行。我们的情况如下

password_secret = hjg5nBbZQcgLVW3do5uw1irfbq9UiRwhISZgPie8r96dejt4hgWdHUJcIaK1onQfFFatbrPZ3WV4yEhoqX9ITtaEUmn9SKn2aRT62uCO9KRZGK81q2xrO1aMQnOELPqP

下一步是设置 root_password_sha2，这是我们所需密码的 SHA-256 散列。首先，执行以下命令：

$ sudo sed -i -e "s/root_password_sha2 =.*/root_password_sha2 = $(echo -n'your_password'| shasum -a 256 | cut -d' '-f1)/" /etc/graylog/server/server.conf

为了能够连接到 Graylog，我们还必须将 rest_listen_uri 和 web_listen_uri 值配置为可以连接到的机器的主机名或公共 IP 地址。Web 界面 URI 和 REST API 必须由使用 Web 界面的所有人访问，这意味着 Graylog 必须在公共网络接口上侦听。

打开 Graylog 配置文件：

$ sudo $EDITOR /etc/graylog/server/server.conf

在此文件中，搜索 rest_listen_uri 行，默认情况下为：

# REST API listen URI. Must be reachable by other Graylog server nodes if you run a cluster.
# When using Graylog Collectors, this URI will be used to receive heartbeat messages and must be accessible for all collectors.
rest_listen_uri = http://127.0.0.1:9000/api/

将 127.0.0.1 替换为服务器公用 IP。

接下来，搜索 web_liste_uri 行：

# Web interface listen URI.
# Configuring a path for the URI here effectively prefixes all URIs in the web interface. This is a replacement
# for the application.context configuration parameter in pre-2.0 versions of the Graylog web interface.
#web_listen_uri = http://127.0.0.1:9000/

取消注释，并更改 IP，就像在 rest_listen_api 步骤中所做的那样。

保存并关闭文件，然后启动 Graylog：

$ sudo systemctl start graylog-server

使用以下代码检查 Graylog 状态：

$ sudo systemctl status graylog-server

graylog-server.service - Graylog server
   Loaded: loaded (/usr/lib/systemd/system/graylog-server.service; enabled; vend
   Active: active (running) ...

使用客户端上的 Web 浏览器，请访问 http://192.168.1.138:9000/。浏览器将显示登录页面

Ubuntu 16.04 上安装配置 Graylog 2 日志管理系统