Graylog Kurulumu ve Graylog Nedir ?
Tüm logların merkezi olarak bir noktada toplama, analiz yapma, görselleştirme ve aksiyonlar yapabileceğimiz açık kaynak kodlu loglama yazılımıdır. Temel bileşenleri; Elasticsearch ve Mongodb bulunur. Graylog Açık kaynaklı kodlu özgür yazılımdır. Kurumlarınız için ücretsiz olarak log merkez sunucusu olarak kullanabilirsiniz.
*Ubuntu 18.04.03 Lts sürümü üzerine 3gb bellek ve 30gb depolama alanına kurulum yapılmıştır.
Java kurulumu
$sudo apt update
$sudo apt install -y apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen curl dirmngr
Kurulan Javanın versiyon kontrolü ve ekran çıktısı
$java -version
openjdk version “1.8.0_191”
OpenJDK Runtime Environment (build 1.8.0_191-8u191-b12-2ubuntu0.18.04.1-b12)
OpenJDK 64-Bit Server VM (build 25.191-b12, mixed mode)
Elasticsearch Kurulumu
Elasticsearch yüklenebilmesi için repolara ekleme
$wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
$echo "deb https://artifacts.elastic.co/packages/6.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-6.x.list
Depoların güncellenmesi ve elasticsearch yükleme
$sudo apt update
$sudo apt install -y elasticsearch
Elasticsearch aktif hale getirme
$sudo systemctl enable elasticsearch
Şimdi nano editörü ile açıp cluster ismini değiştireceğiz
$sudo nano /etc/elasticsearch/elasticsearch.yml
#cluster.name: graylog olacak şeklinde düzenlenyip ctrl+x ile kaydedip çıkabiliriz.
Değiştirdiğimiz cluster isminin aktif olabilmesi için servisi yeniden başlatalım
$sudo systemctl restart elasticsearch
Şimdi istek atacağız ve servisin doğru çalışmadığı ile ilgili ekran çıktısı alacağız.
$curl -X GET http://localhost:9200
Doğru çalışan bir servis için ekran çıktısı şu şekilde olacaktır.
MongoDB kurulumu
Ubuntu 18.04 için geçerli olacak mongoDB depolara ekleme
$sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 9DA31620334BD75D9DCB49F368818C72E52529D4
$echo "deb [ arch=amd64 ] https://repo.mongodb.org/apt/ubuntu bionic/mongodb-org/4.0 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-4.0.list
Depoları güncelleme ve MongoDB kurulumu
$sudo apt update
$sudo apt install -y mongodb-org
MongoDB başlatma ve aktif hale getirme
$sudo systemctl start mongod
$sudo systemctl enable mongod
Graylog Kurulumu
$wget https://packages.graylog2.org/repo/packages/graylog-3.0-repository_latest.deb
$sudo dpkg -i graylog-3.0-repository_latest.deb
$sudo apt update
$sudo apt install -y graylog-server
$pwgen -N 1 -s 96
ekran çıktısı
S6Udulcy6KjFBDEx4wxEWAdWI5cTad5iwthNisrC1DImePSnflvJrJX5sxgj36PisRtwjtEIFDubGXOS3JIKyEnnaVCbCZZx şeklinde üretilen şifreyi graylog password alanı içerisinde ve login olmak için kullanacağız. Bu alan herkeste farklı olacaktır. Biryere kayıt edilmelidilir.
Yapılandırması dosyasını açarak password_secret alanına elde edilen değer yazılacaktır.
$sudo nano /etc/graylog/server/server.conf
Oluşturduğunuz şifre için hash değerini hesaplamanız gerekir.
$echo -n S6Udulcy6KjFBDEx4wxEWAdWI5cTad5iwthNisrC1DImePSnflvJrJX5sxgj36PisRtwjtEIFDubGXOS3JIKyEnnaVCbCZZx | sha256sum
$echo -n sizinoluşturduğunuzşifre | sha256sum şeklinde yazılır
Hesaplanan hash değerinin ekran çıktısı(her değerin hash hesaplaması farklı olacaktır)
3da3b3eaf43672b1a24f108611e46b10fdeb0187411c3c5455e0ee11faa39577
Yeninden server.conf dosyasını düzenleme
$sudo nano /etc/graylog/server/server.conf
düzenlenecek alanlar; root_password_sha2, root_email, root_timezone
root_password_sha2 için hesapladığımız hash değeri yazılacak, root_email için kendimailadresiniz@com, root_timezone
Graylog Web arayüzü için yapılacak yapılandırma
Bu alanda şunu hatırlamak isterim. Graylog server ip adresim 192.168.1.8 ve diğer ağdaki cihazlarla iletişim kurabiliyor.(Bridge modda) buna göre yapılandırma yapacağım. Eğer sizinde ağ yapılandırmanız bu şekilde ise dışarıdan rahatlıkla erişebilirsiniz.
$sudo nano /etc/graylog/server/server.conf
değiştirilecek alan http_bind_address = your-server-ip:9000 yani http_bind_address = 192.168.1.8:9000 şeklinde olacak
Servisi yeniden başlatalım. Servis yeniden başladıktan sonra tarayıcı üzerinden http://192.168.1.8:9000 veya http://ip_adresiniz:9000 yazarak erişim sağlayabilirsiniz. Servisi yeninden başlatıldıktan sonra 2 3 dk erişim olmayabilir.
$sudo systemctl restart graylog-server
Kullanıcı adına admin,şifre alanına kendinizin oluşturduğu server.conf dosyası içeresine yazdığımız değer ile giriş yapıyoruz.
Graylog kurulumu tamamlanmıştır.
kaynak: https://www.itzgeek.com/how-tos/linux/ubuntu-how-tos/how-to-install-graylog-on-ubuntu-16-04.html adresinden yararlanılmıştır.