UNIXDEV BLOG

Install Graylog บน Debian 10

Chanitapon -

Step 1 Insatall Package Require

apt update
apt upgrade
apt install apt-transport-https openjdk-11-jre-headless uuid-runtime pwgen dirmngr software-properties-common

Step 2 Install Mongodb

wget -qO - https://www.mongodb.org/static/pgp/server-4.2.asc | apt-key add -
echo "deb http://repo.mongodb.org/apt/debian buster/mongodb-org/4.2 main" | tee /etc/apt/sources.list.d/mongodb-org-4.2.list
apt-get update
apt-get install -y mongodb-org

systemctl daemon-reload
systemctl enable mongod.service
systemctl restart mongod.service
systemctl status mongod.service

Step 3 Install Elasticsearch

graylog ใช้ Elasticsearch ได้ เฉพาะเวอร์ชั่น 6.x เท่านั้น

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add -
add-apt-repository "deb https://artifacts.elastic.co/packages/6.x/apt stable main"
apt-get update
apt-get install elasticsearch

  • set cluster name
    vim /etc/elasticsearch/elasticsearch.yml
    cluster.name: graylog

systemctl daemon-reload
systemctl enable elasticsearch.service
systemctl restart elasticsearch.service
systemctl status elasticsearch.service

Step 4 Install Graylog

pwgen -N 1 -s 96 เอาไปรันใน หน้า command ของ linux แล้วเอาไปใส่ใน password_secret

echo -n yourpassword | shasum -a 256 เอาไปรันใน หน้า command ของ linux แล้วเอาไปใส่ใน root_password_sha2 เป็น pass ของ user admin graylog

user  สำหรับ login graylog Default คือ admin และ Defaul Port ของ Graylog คือ 9000 สามารถเปลี่ยนได้ใน  server.conf

สามารถเข้าหน้า graylog ผ่าน url:  your-ip-address:9000

Install

wget https://packages.graylog2.org/repo/packages/graylog-3.3-repository_latest.deb
dpkg -i graylog-3.3-repository_latest.deb
apt-get update && apt-get install graylog-server

  • config graylog
    vim /etc/graylog/server/server.conf

http_bind_address = your-ip-address:9000
password_secret =
root_password_sha2 = pass for graylog login
root_timezone = Asia/Bangkok

systemctl daemon-reload
systemctl enable graylog-server.service
systemctl start graylog-server.service
systemctl status graylog-server.service

config ให้ส่ง log มาที่เครื่องได้โดย คอนฟิกที่เครื่องที่ต้องการส่ง log

vim /etc/rsyslog.conf

เพิ่มเข้าไป แล้วแต่ว่าจะใช้ TCP หรือ UDP

UDP:
$ . @graylog.example.org:514;RSYSLOG_SyslogProtocol23Format
TCP:
$ . @@graylog.example.org:514;RSYSLOG_SyslogProtocol23Format

config ที่ เครื่อง graylog ให้เปิด port รอรับ log ตามภาพ โดยไปที่                 System/Inputs > Inputs เพิ่ม Select input