Tutorial ini akan membantu user untuk menginstal dan menggunakan Graylog di server Ubuntu 20.04 LTS untuk mengumpulkan dan menganalisis data log sistem secara terpusat di satu tempat.
Graylog adalah alat sumber terbuka yang menawarkan platform terintegrasi untuk mengumpulkan, mengindeks, dan menganalisis data log. Sistem pada dasarnya terdiri dari interface web Graylog, server Graylog, node Elasticsearch, dan database Mongo.
Node dapat diskalakan sesuai kebutuhan. Sebuah sistem di mana semuanya digabungkan dalam satu node sudah cukup untuk pengujian. Server Graylog adalah unsur sentral dari arsitektur, yang menangani pengelolaan indeks Elasticsearch dan membentuk lapisan abstraksi. Oleh karena itu, adalah mungkin untuk menukar Elasticsearch dengan sistem lain yang sangat cocok untuk menganalisis data log.
Graylog mendukung berbagai mekanisme input. Secara default, empat format atau protokol berbeda didukung: Syslog, GELF, JSON / REST-URL, dan RAW. syslog adalah standar untuk transmisi pesan log dan sering digunakan oleh komponen sistem.
Hal-hal yang kita perlukan untuk melakukan tutorial ini:
- MongoDB
- Pencarian elastis
- Server Graylog
- Pengguna non-root dengan hak sudo
- Server Ubuntu dengan 4 Core CPU dan RAM 8 GB
Langkah-langkah untuk Menginstal Graylog Ubuntu 20.04 LTS
1. Instal dependensi yang diperlukan
Ada beberapa hal yang diperlukan oleh server Graylog untuk diinstal pada Ubuntu 20.04 LTS di antaranya adalah Java, pembuat password bersama dengan beberapa yang umum. Jalankan perintah di bawah ini untuk menginstal semuanya.
Pertama, jalankan perintah pembaruan sistem
sudo apt update
Kemudian instal paket-paket berikut…
sudo apt-get install apt-transport-https openjdk-11-jre-headless uuid-runtime pwgen
2. Setup MongoDB di Ubuntu 20.04 untuk Graylog
Graylog menggunakan MongoDB untuk menyimpan data, oleh karena itu kita perlu menginstalnya di server kita agar nantinya log yang dihasilkan dapat disimpan di sana untuk analisis lebih lanjut.
Paket – paket yang kita perlukan untuk menginstal MongoDB sudah tersedia di repositori resmi Ubuntu, jadi jalankan saja perintah di bawah ini:
sudo apt install -y mongodb-server
Aktifkan dan mulai service Database Server:
sudo systemctl aktifkan –sekarang mongodb
sudo systemctl restart mongod.service
Untuk memeriksa apakah itu berjalan dengan benar tanpa error, Anda dapat menjalankan:
sudo systemctl status mongodb
3. Instal Pencarian Elastis di server ubuntu 20.04 LTS
Elasticsearch adalah engine analitik dan pencarian teks lengkap sumber terbuka. Ini juga sangat terukur dan memungkinkan user untuk menyimpan, mencari, dan menganalisis data dalam jumlah besar dengan cepat dan mendekati waktu nyata yang akan membantu di Graylog untuk menangani & menganalisis dengan sejumlah besar log.
Sistem ini tidak tersedia di repo dasar Ubuntu 20.04, oleh karena itu kita perlu menambahkan repositori Elastic Search resmi secara manual.
Tambahkan Kunci GPG:
wget -qO – https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key tambahkan –
Tambahkan repositori Pencarian Elastis:
echo “deb https://artifacts.elastic.co/packages/7.x/apt stable main” | sudo tee /etc/apt/sources.list.d/elastic-7.x.list
Perintah untuk Menginstal versi open-source ElasticSearch di Ubuntu 20.04:
sudo apt-get update && sudo apt-get install elasticsearch-oss
Ubah file konfigurasi Elasticsearch untuk menetapkan nama cluster ke greylog dan tambahkan action.auto_create_index: false
Untuk ini cukup salin-tempel seluruh blok perintah yang diberikan di bawah ini dan tekan tombol Enter.
sudo tee -a /etc/elasticsearch/elasticsearch.yml > /dev/null <<EOT cluster.name: greylog action.auto_create_index: false EOT
Aktifkan dan mulai service pencarian Elastis:
sudo systemctl daemon-reload Sudo systemctl enable –now elasticsearch Sudo systemctl restart elasticsearch.service
4. Perintah untuk Menginstal Server Graylog di Ubuntu 20.04
Unduh repositori Graylog yang tersedia sebagai paket deb.
wget https://packages.graylog2.org/repo/packages/graylog-4.0-repository_latest.deb
Instal:
sudo dpkg -i graylog-4.0-repository_latest.deb
Sekarang, perbarui sistem Anda, sehingga dapat mengenali repositori yang baru ditambahkan untuk mengunduh paket untuk Graylog:
sudo apt-get update
Terakhir, instal
sudo apt-get install greylog-server
Ekstra : Jika Anda juga ingin menginstal Plugin Integrasi atau Plugin Perusahaan, jalankan:
sudo apt install greylog-enterprise-plugins greylog-integrations-plugins greylog-enterprise-integrations-plugins
5. Edit file konfigurasi Graylog untuk mengatur Kata Sandi admin
Ada dua nilai password – password_secret dan root_password_sha2, kita perlu mengonfigurasinya jika tidak, Graylog di Ubuntu 20.04 LTS tidak akan mulai sama sekali.
Kedua nilai ini ada dalam file konfigurasi Graylog dan apa yang kita tetapkan untuk mereka akan digunakan untuk mengamankan password user dan masuk ke user admin di interface webnya. Tapi kita tidak bisa menetapkan nilai teks biasa untuk mereka, kita harus membuat hash. Jadi, jalankan:
Setel kunci sandi_rahasia
pwgen -N 1 -s 96
Perintah di atas akan menghasilkan kunci rahasia untuk mengamankan password user, jadi salin itu dan edit file konfigurasi menggunakan:
sudo nano /etc/graylog/server/server.conf
Sekarang, temukan password_secret = di file dan tempel kunci rahasia yang disalin di depannya. Seperti yang ditunjukkan pada tangkapan layar di bawah ini.
Simpan file dengan menekan Ctrl + X, Y, dan tekan tombol Enter.
Setel hash root_password_sha2
Nama user default untuk masuk ke interface web Graylog adalah admin, sedangkan password perlu diatur, itulah yang kita lakukan di sini. Hasilkan hash untuk password yang ingin Anda atur menggunakan perintah yang diberikan di bawah ini:
echo -n Kata Sandi Saya | sha256sum
Catatan : Ubah MyPassword pada perintah di atas dengan password yang ingin Anda atur untuk masuk ke interface web Graylog.
Saat Anda menekan tombol Enter setelah menggunakan perintah di atas, jumlah hash akan dibuat. Salin.
Sekarang, edit lagi file konfigurasi :
sudo nano /etc/graylog/server/server.conf
Temukan baris: root_password_sha2 dan tempel jumlah hash di depannya, seperti yang ditunjukkan pada tangkapan layar di bawah ini:
Juga, secara default, Graylog hanya dapat diakses menggunakan IP localhost yaitu 127.0.0.1 sehingga jika Anda berencana untuk mengakses interface webnya dari jarak jauh, maka ubah dengan alamat IP server Anda di file konfigurasi.
Temukan baris : http_bind_address, batalkan komentar dan ubah 127.0.0.1 dengan alamat IP sistem Anda tempat Anda menginstal greylog.
Simpan file – Ctrl + X, Y dan tekan tombol Enter.
6. Aktifkan dan Restart Server Graylog
Kita telah melakukan semua konfigurasi penting, sekarang aktifkan service sistem log ini untuk memulai secara otomatis.
sudo systemctl daemon-reload sudo systemctl aktifkan –sekarang greylog-server sudo systemctl restart greylog-server
Periksa apakah itu berjalan tanpa error atau tidak:
sudo systemctl status greylog-server
Jika Anda berencana untuk mengakses interface web Graylog dari jarak jauh, buka juga port 9000 di firewall Ubuntu:
sudo ufw izinkan 9000
7. Akses interface Web
Buka browser di sistem lokal atau remote Anda yang dapat mengakses alamat Ip server Ubuntu 20.04. Dan ketik http://your-server-ipaddress:9000
Ganti alamat -server-ip-Anda dengan alamat IP sebenarnya dari Server Anda tempat Graylog telah diinstal.
Nama user default adalah admin sedangkan password adalah apa yang telah Anda tetapkan pada langkah 5 artikel ini untuk root_password. Misalnya dalam perintah, kita telah menggunakan MyPassword.
8. Kirim log Sys dari sistem host ke Graylog
Buat file konfigurasi di bawah /etc/rsyslog.d/ untuk memberi tahu sistem ke mana harus mengirim log.
sudo nano /etc/rsyslog.d/90-graylog.conf
Tambahkan baris berikut:
*.* @ip-server-Anda:5140;RSYSLOG_SyslogProtocol23Format
Ganti ip-server-Anda dengan alamat IP sistem dari mana Anda mengirim log. Jika ini adalah sistem host tempat Anda menginstal Graylog, maka gunakan alamat IP itu.
Simpan file dengan mengetik Ctrl+X, Y, dan tekan tombol Enter.
Sekarang, tambahkan Input untuk Node di Graylog.
Pada Dashboard Graylog klik System -> Inputs.
Pilih Syslog UDP dan tekan tombol Launch new input.
Pilih node dari kotak drop-down, beri beberapa judul (apa pun yang Anda inginkan) ke Input dan kemudian atur nomor port ke 5140 setelah itu gulir ke bawah dan simpan konfigurasi.
Sekarang, klik tombol “ Mulai Input ” untuk memulai input server.
9. Dasbor Metrik
Setelah Input dari server dimulai, klik Pencarian yang diberikan di menu Graylog dan Anda akan mulai mendapatkan metrik dan log secara real-time dari server Anda. Anda juga dapat mengatur frekuensi pembaruan metrik.
Untuk mengetahui lebih lanjut tentang alat manajemen log ini dan tugas konfigurasi lainnya, lihat dokumentasi resmi di mana Anda juga akan menemukan cara untuk menggunakan Nginx/Apache sebagai proxy terbalik dan HTTPS di Graylog.