总结

在Ubuntu20.04上安装Graylog，这是一个用于分析日志的开源项目，旨在通过分析日志来进行日志分析。Graylog是一个海外的开源项目，使用Java + Elasticsearch + MongoDB。它有一个免费的社区版和一个付费的企业许可版，类似于ELK（Elasticsearch + Logstash + Kibana）。
Graylog像Splunk一样有日志服务器功能，可以从服务器和网络设备收集日志并将旧日志发送到存档服务器。
这次我们将实时收集服务器和网络设备上的错误和警告消息，以便在故障发生之前可以进行相应。
虽然有像Splunk那样的付费服务提供了许多功能，但我们决定首先使用免费版本的Graylog服务器来开始日志管理，因为可以在短时间内安装/设置完成。

安装步骤

为了使用Graylog，需要安装Java、Elasticsearch、MongoDB和Graylog服务器。

安装OpenJDK。

首先，为了安装Graylog，需要先安装Java。Graylog支持Oracle JDK8或更高版本以及OpenJDK8或更高版本。在本次安装中，我们将安装OpenJDK11。

安装OpenJDK11和所需的软件包

sudo apt update
sudo apt install -y apt-transport-https openjdk-11-jre-headless uuid-runtime pwgen curl dirmngr

确认安装结果

java -version

安装、设置和启动Elasticsearch。

安裝

Elasticsearch将存储日志数据并通过REST API进行检索。

获取GPG密钥

wget -qO – https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add –

添加Elasticsearch仓库

echo “deb https://artifacts.elastic.co/packages/oss-6.x/apt stable main” | sudo tee -a /etc/apt/sources.list.d/elastic-6.x.list

安装Elasticsearch

sudo apt update
sudo apt install -y elasticsearch-oss

检查安装的Elasticsearch版本

sudo /usr/share/elasticsearch/bin/elasticsearch –version

### 为Graylog设置Elasticsearch

编辑Elasticsearch配置文件。请注意，Graylog 4.0 不支持 Elasticsearch 7.11 及更高版本。如果您在 Ubuntu20.04 上按以下步骤安装，将安装 Elasticsearch 6.8.15。

打开/etc/elasticsearch/elasticsearch.yml文件。本例使用vi编辑器。

sudo vi /etc/elasticsearch/elasticsearch.yml

将群集名称设置为”graylog”。

取消注释并设置值

cluster.name: graylog

最后加入

action.auto_create_index: false

保存并退出编辑器

启动elasticsearch服务

sudo systemctl daemon-reload
sudo systemctl start elasticsearch
sudo systemctl enable elasticsearch

确认服务已启动

sudo systemctl status elasticsearch

测试

curl -X GET http://localhost:9200

确认返回的json中的cluster_name值为”graylog”

安装和启动MongoDB

GraylogはMongoDB 4.0及び4.2に対応しています。apt install mongodb-serverでインストールすると3.xがインストールされるのでMongoDBリポを追加します。

キーを追加

sudo apt-key adv –keyserver hkp://keyserver.ubuntu.com:80 –recv 9DA31620334BD75D9DCB49F368818C72E52529D4

リポを追加

echo “deb [ arch=amd64 ] https://repo.mongodb.org/apt/ubuntu bionic/mongodb-org/4.0 multiverse” | sudo tee /etc/apt/sources.list.d/mongodb-org-4.0.list

MongoDBをインストール

sudo apt update
sudo apt install -y mongodb-org

インストールされたmongoDBのバージョンを確認。4.0又は4.2であることを確認。

mongo –version

MongoDBを起動

sudo systemctl daemon-reload
sudo systemctl enable mongod.service
sudo systemctl restart mongod.service

起動していることを確認

sudo systemctl status mongod

Graylogサーバのインストール

Graylogサーバをインストール

Graylog4.0リポ設定をダウンロードしてインストールします。

sudo wget https://packages.graylog2.org/repo/packages/graylog-4.0-repository_latest.deb

sudo dpkg -i graylog-4.0-repository_latest.deb

Graylogサーバをインストール

sudo apt-get update
sudo apt-get install graylog-server

セットアップ

機密パスワードを生成します。

pwgen -N 1 -s 96
出力結果をメモします

ログイン用のパスワードをsha256ハッシュ

echo -n “Enter Password: ” && head -1

ログインパスワードを設定します。

root_password_sha2 = <メモしたsha256ハッシュ>

Webブラウザから開けるようにするためにGraylogサーバのIPアドレスを設定します。「http_bind_address=」行のコメントをはずして値をGraylogサーバのIPアドレスに設定します

http_bind_address = <サーバのIPアドレス>:9000

保存してテキストエディタを終了します。

Graylogサーバを起動します

sudo systemctl daemon-reload
デーモンがロードされるまで少し時間を置く
sudo systemctl start graylog-server
sudo systemctl enable graylog-server

起動していることを確認します

sudo systemctl status graylog-server

起動処理が終了するまで待つ。次のコマンドを実行して「Graylog server is up and running」が表示されるまで待つ。

sudo tail -f /var/log/graylog-server/server.log

登录Graylog服务器

在Ubuntu服务器上安装和设置rsyslog以获取日志。

Graylogサーバをrsyslogサーバに指定する

sudo vi /etc/rsyslog.conf
最後に次の行を追加する。今回はUDPを利用します。Graylogにログを送る場合は1024より大きなポート番号を使う必要があります。今回はポート1514を利用します。

. @:1514

保存してテキストエディタを終了する

rsyslogを再起動します。

sudo systemctl restart rsyslog又はsudo /etc/init.d/rsyslog force-reload

確認します。

sudo systemctl status rsyslog

ファイルウォールを設定している場合はudpポート1514を開放します。

ファイルウォールを確認します。

sudo ufw status
ファイアウォールが有効でudpポート1514が閉鎖されている場合は開放します。

sudo ufw allow proto udp to 0.0.0.0/0 port 1514

設定した後に確認します。次のような記述があるはずです。1514/udp ALLOW Anywhere

安装Graylog服务器。

我们将在Graylog服务器上配置rsyslog以进行获取。

以上