Graylog in de Cloud configureren

Met Graylog heb je een toonaangevende oplossing voor centraal beheren en analyseren van je loggegevens. Via de uitgekiende gebruikersinterface kun je eenvoudig loggegevens analyseren en verzamelen. Het centraal opslaan van loggegevens voorkomt dat je systeem voor systeem af moet om de loggegevens te analyseren. De loggegevens worden veilig en gecentreerd bewaard. Via de interface is het mogelijk om alerts in te stellen zodat bij bepaalde loggegevens een email notificatie wordt uitgestuurd. Via de uitgebreide zoekfunctie is het mogelijk om op maat te zoeken zonder afhankelijk te zijn van een enkele log bron. Doorgaans worden op Graylog applicatie log, netwerkapparatuur log of Windows events aangesloten. In dit blogbericht laat ik je exact zien hoe je een Graylog server kunt installeren en configureren.

Beheerde cloud server met Graylog

Bij Enexus kennen onze systeembeheerders Graylog maar al te goed. Heb je zelf niet de juiste kennis om een server te installeren of te onderhouden? Bespreek dan eens vrijblijvend de mogelijkheden om bij ons een beheerde Graylog server af te nemen.

Installeren van Graylog

Voer eerst het onderstaande commando uit om epel-release repository toe te voegen aan de Linux server. Graylog vereist Java, MongoDB en Elasticsearch om te functioneren. In dit artikel installeren we deze dus als eerste.

Installeren Java

sudo yum install epel-release

Na het installeren van epel repository voer het onderstaande commando uit om java te installeren.

yum install java

Installeren MongoDB

De volgende stap is het installeren van MongoDB. Bewerk nu het bestand /etc/yum.repos.d/mongodb.repo. Bewerk het bestand met bijvoorbeeld vi /etc/yum.repos.d/mongodb.repo. Voer de onderstaande tekst in het bestand en sla dit op.

[mongodb-org-4.2]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/4.2/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-4.2.asc

Voer daarna het onderstaande commando uit om MongoDB server te installeren.

yum install mongodb-org

Tot slot voeg MongoDB toe aan het automatisch opstarten van de server en start de service op.

sudo systemctl enable mongod.service
sudo systemctl start mongod.service

Installeren van Elasticsearch

Elasticsearch zorgt voor het verwerken van de berichtenverkeer tussen Graylog en de diverse loglocaties.

Bewerk het bestand /etc/yum.repos.d/elasticsearch.repo en voeg de onderstaande inhoud in. Voer daarna het commando uit: “yum install elasticsearch-oss”

[elasticsearch-7.x]
name=Elasticsearch repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/oss-7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

Voer nu onderstaande commando uit om een Graylog cluster te maken op Elasticsearch.

sudo tee -a /etc/elasticsearch/elasticsearch.yml > /dev/null <<EOT
cluster.name: graylog
action.auto_create_index: false
EOT

Tot slot start de Elasticsearch service en voeg deze toe aan het opstarten van de server.

sudo systemctl enable elasticsearch.service
sudo systemctl restart elasticsearch.service

Installeren Graylog

Nu alle benodigdheden geïnstalleerd zijn kun je Graylog installeren. Via de rpm van Graylog wordt de benodigde repository bestanden geplaatst.

Installeer de Graylog repository en Graylog met onderstaande commando’s.

sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-4.2-repository_latest.rpm

sudo yum install graylog-server graylog-enterprise-plugins graylog-integrations-plugins graylog-enterprise-integrations-plugins

In de volgende stap gaan we een wachtwoord configureren. Het configuratiebestand /etc/graylog/server/server.conf moet een wachtwoord in de configuratie hebben anders start Graylog niet op. Via onderstaande commando wordt een hash van je gekozen wachtwoord gemaakt. Kopieer deze waarde.

echo -n “Enter Password: ” && head -1 </dev/stdin | tr -d ‘\n’ | sha256sum | cut -d” ” -f1

Bewerk vervolgens het bestand /etc/graylog/server/server.conf en voeg de gegeneerde hash van het wachtwoord toe achter de tekst root_password_sha2.

Zoek vervolgens naar password_secret. Graylog heeft een wachtwoord nodig om de opgeslagen inloggegevens te versleutelen. De grootte van het wachtwoord moet minimaal 64 karakters zijn. Genereer een wachtwoord die 64 karakters is en voer deze in achter password_secret.

Bewerk het bestand /etc/graylog/server/server.conf en zoek naar http_bind_address. Voeg hier het IP adres van de server in.

Tot slot voeg Graylog toe aan de automatische start van het systeem toe en start Graylog service.

sudo systemctl enable graylog-server.service
sudo systemctl start graylog-server.service

Na het starten van de service kun je Graylog bereiken via http://IPadres:9000. Inloggen kan met de gebruikersnaam admin en het wachtwoord wat je hebt gebruikt om de hash te genereren.

Graylog troubleshooting

Heb je alle commando’s uitgevoerd zoals beschreven maar kun je Graylog nog niet bereiken? Controleer dan eerst met onderstaande commando of de Graylog service draait.

systemctl status graylog-server

Indien Graylog failed aangeeft dan gaat er iets mis met het starten van de service. Controleer in dat geval de logs in /var/log/graylog-server/server.log. Een van de redenen zou kunnen zijn dat de service niet start door beveiliging Selinux. Met het commando setenforce 0 kun je tijdelijk de Selinux beveiliging uitschakelen.

Indien je service wel gestart is maar je Graylog nog niet kunt bereiken zal dit waarschijnlijk in de Firewall of netwerkconfiguratie zitten. Met het commando systemctl stop firewalld of systemctl stop iptables kun je de lokale Firewall uitschakelen. Houd er rekening mee dat je de Firewall weer moet inschakelen en bij een volgende herstart van de Firewall service weer automatisch opstart.

Indien de service nog steeds onbereikbaar is of je hulp nodig hebt met het onderhouden van Graylog helpen we je graag (betaald) verder. Neem hiervoor contact met ons op.