Ставим Graylog2(сервис централизованного сбора и хранения логов) на Debian 9

Nov 19 2017, 01:05:28

Давно хотел сделать централизованный сбор логов и их просмотр. И вот вместе сошлись желание, возможность и время. Ставиться он в принципе 1 в 1 к оф. доке, но там на английском, а здесь на русском. Официальная дока

111.111.111.111 - этот IP адрес в настройках вы меняете на свой IP адрес сервера

Зачем ставить Graylog

В чем в общем-то смысл установки Graylog... Когда у вас больше чем 2-3 сервера то поиски и мониторинг этих серверов начинает занимать достаточно много времени. Тут то на выручку и приходят системы мониторинга(аля Zabbix) и централизованного хранения логов(аля Graylog). Zabbix достаточно мощная система и в даже базовой установке мониторит столько метрик серверов что существенно позволяет не заморачиваться на то, все ли в порядке с сервером. Но он наблюдает за метриками. Логи же вторая половина картины. Еще одной плюшкой централизированного хранения логов это то что даже взломам один из серверов и удалив логи, они будут удалены с атакованного сервера, но останутся доступными вам в централизованной системе. Не говоря уже об удобстве просмотра с одного интерфейса, а не кучи разрозненных файлов.
Итак, погнали...

Ставим Java и MongoDB

apt update && sudo apt upgrade
apt install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen
apt install mongodb-server

Ставим ElasticSearch

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add -
echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | tee -a /etc/apt/sources.list.d/elastic-5.x.list
sudo apt update && apt install elasticsearch

Редактируем файл: /etc/elasticsearch/elasticsearch.yml меняя в строке cluster.name значение на:

cluster.name: graylog

Обновляем сервисы systemd и делаем автозапускаемым elasticsearch и перезагружаем его:

systemctl daemon-reload
systemctl enable elasticsearch.service
systemctl restart elasticsearch.service

Ставим сам Graylog2

wget https://packages.graylog2.org/repo/packages/graylog-2.3-repository_latest.deb
dpkg -i graylog-2.3-repository_latest.deb
apt update && apt install graylog-server

Делаем Graylog автозапускаемым после загрузки сервера: systemctl enable graylog-server.service

Чтобы Graylog запускался нужно в конфигурационном файле(/etc/graylog/server/server.conf) задать два параметра:

password_secret = thisismypassword 
root_password_sha2 = 1da9133ab9dbd11d2937ec8d312e1e2569857059e73cc72df92e670928983ab5

так же я установил параметр:

root_username = someadmin

Так как это способствует улучшению безопасности
root_password_sha2 нужно указать sha2 пароля, можно следующей командой его сгенерировать:

echo -n thisismypassword | shasum -a 256

Чтобы иметь возможность подключиться к Graylog нужно также указать следующие два параметра:

rest_listen_uri = http://111.111.111.111:9000/api/
web_listen_uri = http://111.111.111.111:9000

Последний вообще по умолчанию закомментирован и доступа к морде из браузера не будет если не раскомментировать этот параметр. В обоих параметрах нужно задать реальный IP или домен сервера, иначе интерфейс и апи не будут доступны из сети.

Теперь запускаем Graylog:

systemctl start graylog-server.service

Теперь в браузере переходим на наш адрес: http://111.111.111.111:9000/ где 111.111.111.111 меняем на адрес нашего сервера и видим окно входа: graylog2 login page

Вводим наши данные авторизации, которые указывали в конфиге и получаем следующий экран: graylog2 logged in page