Graylog là một nền tảng quản lý nhật ký miễn phí và mã nguồn mở để thu thập, lưu trữ và cho phép phân tích dữ liệu và nhật ký của bạn theo thời gian thực. Nó được viết bằng Java và được xây dựng trên các phần mềm mã nguồn mở khác như MongoDB và Elasticsearch. Graylog cung cấp một trong những nền tảng quản lý nhật ký tập trung hiệu quả, nhanh chóng và linh hoạt nhất.
Khi sử dụng Graylog, bạn có thể gửi và phân tích cả dữ liệu có cấu trúc và không có cấu trúc từ hầu hết mọi nguồn dữ liệu.
Trong hướng dẫn này, chúng tôi sẽ chỉ cho bạn cách cài đặt và cấu hình Graylog như một hệ thống ghi nhật ký tập trung trên hệ thống Debian 11. Ngoài ra, chúng tôi sẽ chỉ cho bạn cách thiết lập máy chủ web Nginx làm proxy ngược cho máy chủ Graylog.
Trước khi bắt đầu cài đặt bất kỳ gói nào, hãy chạy lệnh apt bên dưới để cập nhật và làm mới kho lưu trữ Debian hiện tại của bạn.
Bây giờ hãy cài đặt một số gói phụ thuộc cho Graylog bằng lệnh bên dưới.
Nhập Y để xác nhận cài đặt và nhấn ENTER để tiếp tục.
Sau khi cài đặt hoàn tất, hãy chuyển sang bước tiếp theo để cài đặt một phụ thuộc Graylog khác là MongoDB và Elasticsearch.
Chạy các lệnh bên dưới để thêm khóa GPG MongoDB và kho lưu trữ vào máy chủ Debian của bạn.
Làm mới kho lưu trữ Debian của bạn bằng lệnh sau.
Như bạn có thể thấy trên ảnh chụp màn hình bên dưới, kho lưu trữ MongoDB đã được thêm vào máy chủ Debian của bạn.
Tiếp theo, cài đặt các gói MongoDB bằng lệnh apt bên dưới.
Quá trình cài đặt cơ sở dữ liệu MongoDB sẽ bắt đầu.
Sau khi quá trình cài đặt MongoDB hoàn tất, hãy chạy lệnh sau để tải lại trình quản lý systemd. Lệnh này cần thiết trước khi bạn khởi động dịch vụ MongoDB.
Bây giờ hãy chạy lệnh bên dưới để bật và khởi động lại dịch vụ MongoDB. Dịch vụ MongoDB sẽ bắt đầu và sẽ tự động chạy khi khởi động hệ thống.
Xác minh dịch vụ MongoDB bằng lệnh sau.
Như bạn có thể thấy trên ảnh chụp màn hình sau, dịch vụ MongoDB đang chạy và đã được bật.
Bây giờ hãy chuyển sang giai đoạn tiếp theo để cài đặt Elasticsearch.
Trước khi cài đặt Elasticsearch, hãy chạy lệnh sau để thêm khóa GPG và kho lưu trữ Elasticsearch vào hệ thống Debian của bạn.
Bây giờ hãy cập nhật và làm mới kho lưu trữ Debian của bạn.
Trong ảnh chụp màn hình bên dưới, kho lưu trữ Elasticsearch được thêm vào máy chủ Debian.
Tiếp theo, cài đặt các gói Elasticsearch bằng lệnh apt bên dưới.
Quá trình cài đặt Elasticsearch sẽ bắt đầu.
Sau khi cài đặt hoàn tất, hãy chạy lệnh bên dưới để thêm cấu hình vào tệp cấu hình Elasticsearch /etc/elasticsearch/elasticsearch.yml. Cấu hình sau sẽ tạo một cụm Elasticsearch mới có tên "graylog" và vô hiệu hóa việc tự động tạo chỉ mục trên Elasticsearch.
Khi sử dụng Graylog, bạn có thể gửi và phân tích cả dữ liệu có cấu trúc và không có cấu trúc từ hầu hết mọi nguồn dữ liệu.
Trong hướng dẫn này, chúng tôi sẽ chỉ cho bạn cách cài đặt và cấu hình Graylog như một hệ thống ghi nhật ký tập trung trên hệ thống Debian 11. Ngoài ra, chúng tôi sẽ chỉ cho bạn cách thiết lập máy chủ web Nginx làm proxy ngược cho máy chủ Graylog.
Điều kiện tiên quyết
- Máy chủ Linux Debian 11 - ít nhất có 4GB RAM.
- Người dùng không phải root có quyền sudo hoặc quản trị viên.
Cài đặt các gói phụ thuộc cơ bản
Trong giai đoạn đầu tiên của hướng dẫn này, bạn sẽ cài đặt một số gói phụ thuộc cơ bản, bao gồm Java và GnuPG.Trước khi bắt đầu cài đặt bất kỳ gói nào, hãy chạy lệnh apt bên dưới để cập nhật và làm mới kho lưu trữ Debian hiện tại của bạn.
Mã:
sudo apt update
Mã:
sudo apt install apt-transport-https openjdk-11-jre-headless uuid-runtime pwgen dirmngr gnupg wgetSau khi cài đặt hoàn tất, hãy chuyển sang bước tiếp theo để cài đặt một phụ thuộc Graylog khác là MongoDB và Elasticsearch.
Cài đặt MongoDB
Graylog sử dụng cơ sở dữ liệu NoSQL MongoDB để lưu trữ tất cả thông tin cấu hình Graylog, luồng, cảnh báo, người dùng, luồng được lưu trong bộ nhớ đệm, v.v. Tất cả thông tin bạn thấy trên giao diện web Graylog đều được lưu trữ trên cơ sở dữ liệu NoSQL MongoDB, ngoại trừ chính các bản ghi. Phiên bản hiện tại của Graylog yêu cầu MongoDB v4 lên đến v4.4.Chạy các lệnh bên dưới để thêm khóa GPG MongoDB và kho lưu trữ vào máy chủ Debian của bạn.
Mã:
wget -qO - https://www.mongodb.org/static/pgp/server-4.2.asc | sudo apt-key add -
echo "deb http://repo.mongodb.org/apt/debian buster/mongodb-org/4.2 main" | sudo tee /etc/apt/sources.list.d/mongodb-org-4.2.list
Mã:
sudo apt updateTiếp theo, cài đặt các gói MongoDB bằng lệnh apt bên dưới.
Mã:
sudo apt install -y mongodb-orgSau khi quá trình cài đặt MongoDB hoàn tất, hãy chạy lệnh sau để tải lại trình quản lý systemd. Lệnh này cần thiết trước khi bạn khởi động dịch vụ MongoDB.
Mã:
sudo systemctl daemon-reload
Mã:
sudo systemctl enable mongod.service
sudo systemctl restart mongod.service
Mã:
sudo systemctl status mongodBây giờ hãy chuyển sang giai đoạn tiếp theo để cài đặt Elasticsearch.
Cài đặt Elasticsearch
Sau khi cài đặt cơ sở dữ liệu MongoDB NoSQL, bây giờ bạn sẽ được yêu cầu cài đặt Elasticsearch. Máy chủ Graylog sử dụng Elasticsearch làm công cụ tìm kiếm để tìm kiếm nhật ký. Ở phiên bản hiện tại, Graylog yêu cầu Elasticsearch v6.8 hoặc v7.x lên đến v7.10.Trước khi cài đặt Elasticsearch, hãy chạy lệnh sau để thêm khóa GPG và kho lưu trữ Elasticsearch vào hệ thống Debian của bạn.
Mã:
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
echo "deb https://artifacts.elastic.co/packages/oss-7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
Mã:
sudo apt updateTiếp theo, cài đặt các gói Elasticsearch bằng lệnh apt bên dưới.
Mã:
sudo apt install elasticsearch-ossSau khi cài đặt hoàn tất, hãy chạy lệnh bên dưới để thêm cấu hình vào tệp cấu hình Elasticsearch /etc/elasticsearch/elasticsearch.yml. Cấu hình sau sẽ tạo một cụm Elasticsearch mới có tên "graylog" và vô hiệu hóa việc tự động tạo chỉ mục trên Elasticsearch.
Mã:
sudo tee -a /etc/elasticsearch/elasticsearch.yml > /dev/null