Vous cherchez une méthode plus efficace pour superviser les journaux de vos serveurs Linux ? Optez pour Graylog. Ce système met à votre disposition un tableau de bord web complet, qui organise vos journaux de manière structurée et esthétique.
Graylog repose sur diverses technologies comme Elasticsearch, Java et MongoDB. Si vous souhaitez utiliser ce logiciel, un serveur sous Ubuntu, CentOS/RedHat Enterprise Linux ou une machine capable d’héberger une appliance Oracle VirtualBox VM est nécessaire.
Instructions pour la machine virtuelle
Si vous êtes principalement utilisateur de machines virtuelles, vous serez ravi d’apprendre que Graylog est disponible sous forme d’appliance virtuelle pour VirtualBox. Pour installer le logiciel, ouvrez un terminal et suivez ces instructions pour déployer la dernière version.
Étape 1: Avant d’utiliser la VM Graylog, il faut installer VirtualBox sur votre serveur hôte (si ce n’est pas déjà fait).
Ubuntu
sudo apt install virtualbox
Debian
sudo apt-get install virtualbox
Arch Linux
sudo pacman -S virtualbox
Fedora
sudo dnf install VirtualBox
OpenSUSE
sudo zypper install virtualbox
Linux générique
VirtualBox d’Oracle est compatible avec tous les systèmes d’exploitation Linux. La dernière version peut être téléchargée ici.
Étape 2: Lancez VirtualBox et laissez la fenêtre ouverte. Ensuite, accédez à la page de téléchargement de Graylog OVA et récupérez la version la plus récente.
Étape 3: Ouvrez votre explorateur de fichiers et cliquez sur « Téléchargements ». Trouvez le fichier Graylog OVA, faites un clic droit dessus et sélectionnez « Ouvrir avec VirtualBox ».
Étape 4: Lorsque vous cliquez sur « importer », une fenêtre VirtualBox vous demandera si vous souhaitez importer l’appliance. Confirmez et suivez le processus d’importation de Graylog dans VirtualBox.
Étape 5: Une fois l’importation terminée, cliquez sur « paramètres » dans VBox et configurez vos paramètres réseau. Puis, lancez la VM Graylog, connectez-vous avec l’utilisateur « ubuntu » (le mot de passe est également « ubuntu ») et exécutez les commandes suivantes dans la console :
sudo graylog-ctl set-email-config <serveur smtp> [--port=<port smtp> --user=<nom d'utilisateur> --password=<mot de passe>] sudo graylog-ctl set-admin-password <mot de passe> sudo graylog-ctl set-timezone <acronyme du fuseau horaire> sudo graylog-ctl reconfigure sudo apt-get install -y open-vm-tools
Étape 6: Accédez à l’URL HTTP affichée par la VM Graylog dans votre navigateur web pour finaliser le processus.
Installation de Graylog sur un serveur Ubuntu
Souhaitez-vous utiliser Graylog sur votre serveur Ubuntu ? Bonne nouvelle ! Ubuntu est l’un des systèmes d’exploitation les plus pris en charge par les développeurs.
Avant de configurer le logiciel sur votre serveur Ubuntu, il est crucial de mettre à jour Ubuntu et d’installer les derniers correctifs. Pour cela, ouvrez un terminal, connectez-vous en SSH et exécutez les commandes de mise à jour suivantes :
sudo apt update sudo apt upgrade -y
Ensuite, utilisez la commande Apt ci-dessous pour installer les packages nécessaires aux dépendances de Graylog et au logiciel lui-même :
sudo apt install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen
Après avoir configuré les packages de base, vous devez configurer le système MongoDB.
sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 2930ADAE8CAF5059EE73BB4B58712A2291FA4AD5 echo "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.6 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.6.list sudo apt update sudo apt install -y mongodb-org
Une fois MongoDB installé, démarrez la base de données.
sudo systemctl daemon-reload sudo systemctl enable mongod.service sudo systemctl restart mongod.service
Après MongoDB, installez Elasticsearch, utilisé comme backend par Graylog.
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add - echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list sudo apt update && sudo apt install elasticsearch
Modifiez le fichier YML Elasticsearch avec l’éditeur de texte Nano.
sudo nano /etc/elasticsearch/elasticsearch.yml
Appuyez sur Ctrl + W, saisissez « cluster.name: » et appuyez sur Entrée. Supprimez le # et ajoutez « graylog » à la fin. Vous devriez obtenir :
cluster.name: graylog
Démarrez Elasticsearch :
sudo systemctl daemon-reload sudo systemctl enable elasticsearch.service sudo systemctl restart elasticsearch.service
Maintenant qu’Elasticsearch et MongoDB sont configurés, nous pouvons télécharger et installer Graylog sur Ubuntu. Exécutez ces commandes :
wget https://packages.graylog2.org/repo/packages/graylog-2.4-repository_latest.deb sudo dpkg -i graylog-2.4-repository_latest.deb sudo apt-get update && sudo apt-get install graylog-server
Utilisez pwgen pour générer une clé secrète.
pwgen -N 1 -s 96
Copiez la sortie dans le presse-papiers. Ouvrez le fichier server.conf dans Nano et ajoutez-la après « password_secret ».
sudo nano /etc/graylog/server/server.conf
Après avoir ajouté le mot de passe secret, enregistrez le fichier avec Ctrl + O et fermez Nano. Générez un mot de passe root pour Graylog avec :
echo -n "Entrez le mot de passe : " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1
Copiez à nouveau la sortie et collez-la après « root_password_sha2 » dans le fichier server.conf.
Les mots de passe sont définis, mais la configuration n’est pas terminée. Il faut maintenant définir l’adresse web par défaut. Localisez « rest_listen_uri » et « web_listen_uri » dans le fichier server.conf et remplacez les valeurs par défaut par ce qui suit (en utilisant l’adresse IP locale de votre serveur):
rest_listen_uri = https://adresse-ip-locale-du-serveur:12900/ web_listen_uri = https://adresse-ip-locale-du-serveur:9000/
Enregistrez avec Ctrl + O, retournez au terminal et redémarrez Graylog.
sudo systemctl daemon-reload sudo systemctl restart graylog-server
Accédez à votre nouveau serveur de journalisation Graylog à l’URL suivante :
Note : La connexion web par défaut est admin/admin
https://adresse-ip-locale-du-serveur/
Installation de Graylog sur CentOS/Rhel
Utilisateurs de CentOS et RHEL, si vous voulez essayer Graylog, vous êtes chanceux ! Les développeurs fournissent un excellent support pour votre système d’exploitation. Pour l’installer, vous devez exécuter CentOS 7 ou un équivalent RHEL.
La première étape consiste à installer les dépendances nécessaires. Ouvrez un terminal et exécutez ces commandes Yum:
sudo yum install java-1.8.0-openjdk-headless.x86_64 sudo yum install epel-release sudo yum install pwgen
Une fois les dépendances de base installées, configurez MongoDB en ajoutant le dépôt tiers.
sudo touch /etc/yum.repos.d/mongodb-org-3.6.repo
Ouvrez le fichier repo dans Nano.
sudo nano /etc/yum.repos.d/mongodb-org-3.6.repo
Collez le code suivant à l’intérieur:
[mongodb-org-3.6]
name = Dépôt MongoDB
baseurl = https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/3.6/x86_64/
gpgcheck = 1
enabled = 1
gpgkey = https://www.mongodb.org/static/pgp/server-3.6.asc
Enregistrez avec Ctrl + O.
Démarrez MongoDB avec la commande systemctl.
sudo chkconfig --add mongod sudo systemctl daemon-reload sudo systemctl enable mongod.service sudo systemctl start mongod.service
Installez ensuite Elasticsearch, car Graylog en a besoin.
rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch sudo touch /etc/yum.repos.d/elasticsearch.repo sudo nano /etc/yum.repos.d/elasticsearch.repo
Collez ce code dans Nano:
[elasticsearch-5.x]
name = Dépôt Elasticsearch pour les packages 5.x
baseurl = https://artifacts.elastic.co/packages/5.x/yum
gpgcheck = 1
gpgkey = https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled = 1
autorefresh = 1
type = rpm-md
Enregistrez le code avec Ctrl + O. Utilisez ensuite le gestionnaire de paquets Yum pour installer la dernière version d’Elasticsearch.
sudo yum install elasticsearch
Modifiez le fichier de configuration d’Elasticsearch. Ouvrez elasticsearch.yml dans Nano.
sudo nano /etc/elasticsearch/elasticsearch.yml
Appuyez sur Ctrl + W, tapez « cluster.name: » et appuyez sur Entrée pour y accéder. Supprimez le symbole # et ajoutez graylog à la fin du texte.
Enregistrez le fichier avec Ctrl + O. Puis, démarrez Elasticsearch avec ces commandes :
sudo chkconfig --add elasticsearch sudo systemctl daemon-reload sudo systemctl enable elasticsearch.service sudo systemctl restart elasticsearch.service
Toutes les dépendances sont en place. Pour terminer l’installation de Graylog, activez le dépôt de logiciels tiers :
sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-2.4-repository_latest.rpm
Installez ensuite Graylog avec Yum :
sudo yum install graylog-server
L’étape suivante consiste à générer une clé secrète avec pwgen :
pwgen -N 1 -s 96
Copiez la sortie et collez-la après la ligne « password_secret » dans server.conf.
sudo nano /etc/graylog/server/server.conf
Enregistrez avec Ctrl + O. Quittez Nano et suivez le processus de génération du mot de passe root :
echo -n "Entrez le mot de passe : " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1
Copiez ce mot de passe, ouvrez server.conf dans Nano et collez-le après « root_password_sha2 ».
Une fois les mots de passe configurés, localisez « rest_listen_uri » et « web_listen_uri » et configurez-les comme suit :
rest_listen_uri = https://adresse-ip-locale-du-serveur:12900/ web_listen_uri = https://adresse-ip-locale-du-serveur:9000/
Enregistrez le fichier avec Ctrl + O, retournez au terminal et exécutez ces commandes pour démarrer Graylog:
sudo chkconfig --add graylog-server sudo systemctl daemon-reload sudo systemctl enable graylog-server.service sudo systemctl start graylog-server.service
Si les commandes systemd réussissent, vous pourrez accéder à votre serveur Graylog via votre navigateur web à l’adresse ci-dessous.
Note : Pour la connexion à l’interface web, utilisez admin/admin
https://adresse-ip-locale-du-serveur/