如何在Ubuntu Server 20.04上安裝Graylog系統日誌管理器

您可能在您的數據中心有幾臺Ubuntu服務器在運行。這些系統的安全性如何？您最近檢查過日誌嗎？這些日誌文件包含了關於您系統安全的重要信息。梳理這些大量的日誌文件多是一件苦差事--尤爲是當您必須檢查整個網絡中每一個系統的日誌文件時。
好在有Graylog這樣的工具可用。Graylog是一個開源的日誌管理平臺，用於監控網絡相關係統的日誌。Graylog使用MongDB來存儲信息，因此它徹底能夠根據你的需求進行擴展。
Graylog能夠幫助你收集、整理、分析和提取數據。掌握了這些信息，你就能夠更好地保護服務器的安全和優化。
讓咱們在Ubuntu Server 20.04上安裝Graylog。
準備工做
Ubuntu Server 20.04的實例
具備sudo特權的用戶
一、如何更新和升級Ubuntu
咱們必須作的第一件事是更新和升級服務器。
注意：若是內核已升級，則須要從新引導才能使更改生效。所以，請確保在可行的從新引導時運行更新/升級。
要更新和升級Ubuntu，請登陸到服務器併發出如下兩個命令：
sudo apt-get update
sudo apt-get upgrade -y
二、如何安裝Java
接下來，咱們須要安裝第一個依賴項Java。爲此，發出如下命令：
sudo apt-get install openjdk-11-jre-headless -y
三、如何安裝和配置Elasticsearch
咱們將使用Elasticsearch從託管服務器外部的機器存儲日誌。要安裝Elasticsearch，首先發出命令：
sudo -s
使用如下命令下載並安裝Elasticsearch GPG密鑰：
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add -
使用如下命令添加Elasticsearch存儲庫：
echo "deb https://artifacts.elastic.co/packages/oss-6.x/apt stable main" | tee -a /etc/apt/sources.list.d/elastic-6.x.list
使用如下命令更新apt並安裝Elasticsearch：
apt-get update
apt-get install elasticsearch-oss -y
如今，咱們須要對Elasticsearch配置文件進行一些更改。使用如下命令打開有問題的文件：
nano /etc/elasticsearch/elasticsearch.yml
在該文件中，查找以如下內容開頭的行：
#cluster.name:
更改成：
cluster.name: graylog
在該文件的底部，添加如下行：
action.auto_create_index: false
保存並關閉文件。
使用如下命令啓動並啓用Elasticsearch：
systemctl daemon-reload
systemctl start elasticsearch
systemctl enable elasticsearch
四、如何安裝MongoDB
如今，咱們將安裝數據庫服務器。要安裝MongoDB，請發出如下命令：
apt-get install mongodb-server -y
使用如下命令啓動並啓用數據庫：
systemctl start mongodb
systemctl enable mongodb
使用如下命令退出root用戶：
exit
五、如何安裝和配置Graylog
如今該安裝Graylog。因爲Graylog在標準存儲庫中不可用，所以咱們必須首先使用如下命令下載並安裝必要的存儲庫軟件包：
sudo wget https://packages.graylog2.org/repo/packages/graylog-3.3-repository_latest.deb
sudo dpkg -i graylog-3.3-repository_latest.deb
更新apt並使用如下命令安裝Graylog：
sudo apt-get update -y
sudo apt-get install graylog-server -y
必須爲Graylog生成一個祕密的用戶密碼。使用如下命令執行此操做：
sudo pwgen -N 1 -s 96
確保複製保存生成的字符串，由於Graylog配置文件將須要它們。
接下來，爲Graylog管理員用戶生成一個安全密碼，以登陸到基於Web的界面。使用如下命令執行此操做：
sudo echo -n PASSWORD | sha256sum
其中PASSWORD是安全密碼。確保也複製上述命令的輸出。
使用如下命令打開Graylog配置文件：
sudo nano /etc/graylog/server/server.conf
尋找這行：
password_secret =
粘貼您在上方生成的用戶密碼，以下所示：
password_secret = STRING
其中STRING是密碼字符串。
接下來，查找該行：
root_password_sha2 =
對上述操做執行相同操做，僅粘貼您生成的安全密碼。
最後，查找如下行：
#http_bind_address = 127.0.0.1:9000
將上面的行更改成：
http_bind_address = 127.0.0.1:9000
保存並關閉文件。
使用如下命令啓動並啓用Graylog：
sudo systemctl daemon-reload
sudo systemctl start graylog-server
sudo systemctl enable graylog-server
六、如何安裝和配置NGINX
最後，咱們必須安裝NGINX做爲反向代理。若是已安裝Apache，請確保使用如下命令中止並禁用它：
sudo systemctl stop apache2
sudo systemctl disable apache2
使用如下命令安裝NGINX：
sudo apt-get install nginx -y
使用如下命令啓動並啓用NGINX：
sudo systemctl start nginx
sudo systemctl enable nginx
使用如下命令建立一個新的Graylog NGINX配置文件：
sudo nano /etc/nginx/sites-available/graylog.conf
在該文件中，粘貼如下內容：
server {
listen 80;
server_name NAME;
location / {
proxy_set_header Host $http_host;
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-Server $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Graylog-Server-URL http://$server_name/;
proxy_pass http://127.0.0.1:9000;
}
}
其中，NAME是您的Graylog服務器的IP地址或域。
保存並關閉文件。
使用如下命令啓用站點：
sudo ln -s /etc/nginx/sites-available/graylog.conf /etc/nginx/sites-enabled/
使用如下命令從新啓動NGINX：
sudo systemctl restart nginx
七、如何訪問Graylog
打開Web瀏覽器，並將其指向SERVER_IP（其中SERVER_IP是Graylog服務器的IP地址或域名）。應該能看到Graylog登陸頁面（圖A）。

身份驗證用戶名爲admin，密碼是你用echo -n PASSWORD | sha256sum命令生成安全密碼時使用的密碼。
這就是安裝Graylog的所有內容。您能夠開始在儀表板上四處摸索，以快速使用此功能強大的日誌記錄系統。A5互聯https://www.a5idc.net/