您可能在您的数据中心有几台Ubuntu服务器在运行。这些系统的安全性如何?您最近检查过日志吗?这些日志文件包含了关于您系统安全的重要信息。梳理这些大量的日志文件可能是一件苦差事--尤其是当您必须检查整个网络中每个系统的日志文件时。
好在有Graylog这样的工具可用。Graylog是一个开源的日志管理平台,用于监控网络相关系统的日志。Graylog使用MongDB来存储信息,所以它完全可以根据你的需求进行扩展。
Graylog可以帮助你收集、整理、分析和提取数据。掌握了这些信息,你就可以更好地保护服务器的安全和优化。
让我们在Ubuntu Server 20.04上安装Graylog。
准备工作
Ubuntu Server 20.04的实例
具有sudo特权的用户
1、如何更新和升级Ubuntu
我们必须做的第一件事是更新和升级服务器。
注意:如果内核已升级,则需要重新引导才能使更改生效。因此,请确保在可行的重新引导时运行更新/升级。
要更新和升级Ubuntu,请登录到服务器并发出以下两个命令:
sudo apt-get update
sudo apt-get upgrade -y
2、如何安装Java
接下来,我们需要安装第一个依赖项Java。为此,发出以下命令:
sudo apt-get install openjdk-11-jre-headless -y
3、如何安装和配置Elasticsearch
我们将使用Elasticsearch从托管服务器外部的机器存储日志。要安装Elasticsearch,首先发出命令:
sudo -s
使用以下命令下载并安装Elasticsearch GPG密钥:
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add -
使用以下命令添加Elasticsearch存储库:
echo "deb https://artifacts.elastic.co/packages/oss-6.x/apt stable main" | tee -a /etc/apt/sources.list.d/elastic-6.x.list
使用以下命令更新apt并安装Elasticsearch:
apt-get update
apt-get install elasticsearch-oss -y
现在,我们需要对Elasticsearch配置文件进行一些更改。使用以下命令打开有问题的文件:
nano /etc/elasticsearch/elasticsearch.yml
在该文件中,查找以以下内容开头的行:
#cluster.name:
更改为:
cluster.name: graylog
在该文件的底部,添加以下行:
action.auto_create_index: false
保存并关闭文件。
使用以下命令启动并启用Elasticsearch:
systemctl daemon-reload
systemctl start elasticsearch
systemctl enable elasticsearch
4、如何安装MongoDB
现在,我们将安装数据库服务器。要安装MongoDB,请发出以下命令:
apt-get install mongodb-server -y
使用以下命令启动并启用数据库:
systemctl start mongodb
systemctl enable mongodb
使用以下命令退出root用户:
exit
5、如何安装和配置Graylog
现在该安装Graylog。由于Graylog在标准存储库中不可用,因此我们必须首先使用以下命令下载并安装必要的存储库软件包:
sudo wget https://packages.graylog2.org/repo/packages/graylog-3.3-repository_latest.deb
sudo dpkg -i graylog-3.3-repository_latest.deb
更新apt并使用以下命令安装Graylog:
sudo apt-get update -y
sudo apt-get install graylog-server -y
必须为Graylog生成一个秘密的用户密码。使用以下命令执行此操作:
sudo pwgen -N 1 -s 96
确保复制保存生成的字符串,因为Graylog配置文件将需要它们。
接下来,为Graylog管理员用户生成一个安全密码,以登录到基于Web的界面。使用以下命令执行此操作:
sudo echo -n PASSWORD | sha256sum
其中PASSWORD是安全密码。确保也复制上述命令的输出。
使用以下命令打开Graylog配置文件:
sudo nano /etc/graylog/server/server.conf
寻找这行:
password_secret =
粘贴您在上方生成的用户密码,如下所示:
password_secret = STRING
其中STRING是密码字符串。
接下来,查找该行:
root_password_sha2 =
对上述操作执行相同操作,仅粘贴您生成的安全密码。
最后,查找以下行:
#http_bind_address = 127.0.0.1:9000
将上面的行更改为:
http_bind_address = 127.0.0.1:9000
保存并关闭文件。
使用以下命令启动并启用Graylog:
sudo systemctl daemon-reload
sudo systemctl start graylog-server
sudo systemctl enable graylog-server
6、如何安装和配置NGINX
最后,我们必须安装NGINX作为反向代理。如果已安装Apache,请确保使用以下命令停止并禁用它:
sudo systemctl stop apache2
sudo systemctl disable apache2
使用以下命令安装NGINX:
sudo apt-get install nginx -y
使用以下命令启动并启用NGINX:
sudo systemctl start nginx
sudo systemctl enable nginx
使用以下命令创建一个新的Graylog NGINX配置文件:
sudo nano /etc/nginx/sites-available/graylog.conf
在该文件中,粘贴以下内容:
server {
listen 80;
server_name NAME;
location / {
proxy_set_header Host $http_host;
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-Server $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Graylog-Server-URL http://$server_name/;
proxy_pass http://127.0.0.1:9000;
}
}
其中,NAME是您的Graylog服务器的IP地址或域。
保存并关闭文件。
使用以下命令启用站点:
sudo ln -s /etc/nginx/sites-available/graylog.conf /etc/nginx/sites-enabled/
使用以下命令重新启动NGINX:
sudo systemctl restart nginx
7、如何访问Graylog
打开Web浏览器,并将其指向SERVER_IP(其中SERVER_IP是Graylog服务器的IP地址或域名)。应该能看到Graylog登录页面(图A)。
身份验证用户名为admin,密码是你用echo -n PASSWORD | sha256sum命令生成安全密码时使用的密码。
这就是安装Graylog的全部内容。您可以开始在仪表板上四处摸索,以快速使用此功能强大的日志记录系统。A5互联https://www.a5idc.net/