So installierst du Graylog 4 unter Ubuntu 22.04

Graylog ist ein kostenloses und quelloffenes Log-Monitoring-Tool zur Erfassung, Speicherung und Echtzeitanalyse von Terabytes an Maschinendaten. Es wurde für moderne Log-Analysen entwickelt, die es Nutzern ermöglichen, schnell und einfach die Bedeutung von Daten zu erkennen und schneller zu handeln. Es bietet außerdem Warnmeldungen und Suchsysteme für den Logverlauf, die ElasticSearch als Hauptindexdatenbank und MongoDB für die Speicherung von Metainformationen nutzen. Es hilft dir, große Datenmengen in einem einfachen, lesbaren Format zu überwachen, zu durchsuchen und zu analysieren.

In diesem Tutorial zeigen wir dir, wie du Graylog auf einem Ubuntu 22.04 Server installierst.

Voraussetzungen

• Ein Server mit Ubuntu 22.04 und mindestens 4 GB RAM
• Ein Root-Passwort ist auf dem Server eingerichtet.

Erste Schritte

Zuerst musst du deine Systempakete auf die neueste Version aktualisieren. Du kannst sie alle mit dem folgenden Befehl aktualisieren:

apt update -y
apt upgrade

Nachdem du alle Pakete aktualisiert hast, musst du auch einige Abhängigkeiten auf deinem Server installieren. Du kannst sie alle mit dem folgenden Befehl installieren:

apt install apt-transport-https gnupg2 uuid-runtime pwgen curl dirmngr -y

Sobald alle erforderlichen Abhängigkeiten installiert sind, kannst du mit dem nächsten Schritt fortfahren.

Java JDK installieren

Graylog erfordert, dass Java auf deinem Server installiert ist. Wenn es nicht installiert ist, kannst du es mit dem folgenden Befehl installieren:

apt install openjdk-11-jre-headless -y

Sobald Java installiert ist, kannst du die installierte Version von Java überprüfen, indem du den folgenden Befehl ausführst:

java -version

Du solltest die folgende Ausgabe erhalten:

openjdk version "11.0.16" 2022-07-19
OpenJDK Runtime Environment (build 11.0.16+8-post-Ubuntu-0ubuntu122.04)
OpenJDK 64-Bit Server VM (build 11.0.16+8-post-Ubuntu-0ubuntu122.04, mixed mode, sharing)

Wenn du fertig bist, kannst du mit dem nächsten Schritt fortfahren.

Elasticsearch installieren und konfigurieren

Graylog verwendet Elasticsearch, um Logs von externen Ressourcen zu speichern. Daher musst du Elasticsearch in deinem System installieren.

Standardmäßig ist das Elasticsearch-Paket nicht im Standard-Repository von Ubuntu verfügbar. Daher musst du das Elasticsearch-Repository zu deinem System hinzufügen.

Lade zunächst den Elasticsearch GPG-Schlüssel herunter und füge ihn mit dem folgenden Befehl hinzu:

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add -

Als Nächstes fügst du das Elasticsearch-Repository mit dem folgenden Befehl hinzu:

echo "deb https://artifacts.elastic.co/packages/oss-7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list

Als Nächstes aktualisierst du das Repository und installierst Elasticsearch mit dem folgenden Befehl:

apt update -y
apt install elasticsearch-oss -y

Nach der Installation von Elasticsearch musst du die Elasticsearch-Konfigurationsdatei bearbeiten und den Clusternamen festlegen. Das kannst du mit dem folgenden Befehl tun:

nano /etc/elasticsearch/elasticsearch.yml

Setze den Clusternamen auf Graylog und füge eine weitere Zeile hinzu, wie unten gezeigt:

cluster.name: graylog
action.auto_create_index: false

Speichere und schließe die Datei, wenn du fertig bist. Starte dann den Elasticsearch-Dienst und aktiviere ihn mit folgendem Befehl, damit er beim Booten startet:

systemctl daemon-reload
systemctl start elasticsearch
systemctl enable elasticsearch

Du kannst den Status des Elasticsearch-Dienstes auch mit dem folgenden Befehl überprüfen:

systemctl status elasticsearch

Du solltest die folgende Ausgabe erhalten:

? elasticsearch.service - Elasticsearch
     Loaded: loaded (/lib/systemd/system/elasticsearch.service; disabled; vendor preset: enabled)
     Active: active (running) since Sun 2022-09-25 07:05:27 UTC; 21s ago
       Docs: https://www.elastic.co
   Main PID: 74226 (java)
      Tasks: 48 (limit: 4579)
     Memory: 1.2G
        CPU: 22.739s
     CGroup: /system.slice/elasticsearch.service
             ??74226 /usr/share/elasticsearch/jdk/bin/java -Xshare:auto -Des.networkaddress.cache.ttl=60 -Des.networkaddress.cache.negative.t>

Sep 25 07:05:11 ubuntu2204 systemd[1]: Starting Elasticsearch...
Sep 25 07:05:27 ubuntu2204 systemd[1]: Started Elasticsearch.

Überprüfe nun die Antwort von Elasticcsearch mit folgendem Befehl:

curl -X GET http://localhost:9200

Du solltest die folgende Ausgabe erhalten:

{
  "name" : "ubuntu2204",
  "cluster_name" : "graylog",
  "cluster_uuid" : "6IWBEBx_THa2Gzqb7a1LTQ",
  "version" : {
    "number" : "7.10.2",
    "build_flavor" : "oss",
    "build_type" : "deb",
    "build_hash" : "747e1cc71def077253878a59143c1f785afa92b9",
    "build_date" : "2021-01-13T00:42:12.435326Z",
    "build_snapshot" : false,
    "lucene_version" : "8.7.0",
    "minimum_wire_compatibility_version" : "6.8.0",
    "minimum_index_compatibility_version" : "6.0.0-beta1"
  },
  "tagline" : "You Know, for Search"
}

MongoDB Server installieren

Graylog verwendet MongoDB als Datenbank. Daher musst du die MongoDB-Datenbank auf deinem Server installieren. Standardmäßig ist das MongoDB-Paket nicht im Standard-Repository von Ubuntu enthalten. Daher musst du das offizielle MongoDB-Repository zu deinem System hinzufügen:

Du kannst es mit dem folgenden Befehl hinzufügen:

wget -qO - https://www.mongodb.org/static/pgp/server-4.4.asc | apt-key add -
echo "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/ubuntu focal/mongodb-org/4.4 multiverse" | tee /etc/apt/sources.list.d/mongodb-org-4.4.list

Sobald das Repository hinzugefügt ist, aktualisiere den Repository-Cache und installiere Graylog mit folgendem Befehl:

apt update -y
apt install -y mongodb-org

Sobald MongoDB installiert ist, starte den MongoDB-Dienst und aktiviere ihn mit folgendem Befehl, damit er beim Neustart des Systems startet:

systemctl enable --now mongod

Du kannst den MongoDB-Status auch mit dem folgenden Befehl überprüfen:

systemctl status mongod

Du solltest den MongoDB-Status in der folgenden Ausgabe sehen:

? mongod.service - MongoDB Database Server
     Loaded: loaded (/lib/systemd/system/mongod.service; enabled; vendor preset: enabled)
     Active: active (running) since Sun 2022-09-25 07:20:35 UTC; 8s ago
       Docs: https://docs.mongodb.org/manual
   Main PID: 77018 (mongod)
     Memory: 60.0M
        CPU: 936ms
     CGroup: /system.slice/mongod.service
             ??77018 /usr/bin/mongod --config /etc/mongod.conf

Sep 25 07:20:35 ubuntu2204 systemd[1]: Started MongoDB Database Server.

Wenn du fertig bist, kannst du mit dem nächsten Schritt fortfahren.

Graylog installieren und konfigurieren

Standardmäßig ist das Graylog-Paket nicht im Ubuntu-Standard-Repository verfügbar. Daher musst du das Graylog-Repository auf deinem Server installieren.

Du kannst das Graylog-Repository-Paket mit dem folgenden Befehl herunterladen:

wget https://packages.graylog2.org/repo/packages/graylog-4.3-repository_latest.deb

Sobald der Download abgeschlossen ist, installierst du das heruntergeladene Paket mit dem folgenden Befehl:

dpkg -i graylog-4.3-repository_latest.deb

Als Nächstes aktualisierst du das Repository und installierst den Graylog-Server mit dem folgenden Befehl:

apt update -y
apt install graylog-server -y

Nach der Installation des Graylog-Servers musst du ein Geheimnis erzeugen, um die Benutzerpasswörter zu schützen. Du kannst es mit dem folgenden Befehl erzeugen:

pwgen -N 1 -s 96

Du solltest die folgende Ausgabe sehen:

d1fDH1NEOMgb3nxbFYY3eVpqzjOprwgPgFuGh2F0flDdZglJP2CxENV4WEeW8iqZXsjDEZgMob3oBvQYm62RXxoc33hKTPJa

Als Nächstes musst du auch ein sicheres Passwort für den Graylog-Admin-Benutzer erstellen. Du brauchst dieses Passwort, um dich bei der Graylog-Weboberfläche anzumelden. Du kannst es mit dem folgenden Befehl erzeugen:

echo -n "Enter Password: " && head -1

Du solltest die folgende Ausgabe sehen:

Enter Password: yourpassword
e472e1436cbe87774c1bc75d0a646d67e506bea1dff8701fd41f34bca33e1419

Bearbeite nun die Hauptkonfigurationsdatei von Graylog und definiere beide Passwörter:

nano /etc/graylog/server/server.conf

Füge beide Passwörter, die du oben generiert hast, wie unten gezeigt ein:

password_secret = Wv4VQWCAA9sRbL7pxPeY7tb9lSo50esEWgNXxXHypx0Og3CezMmQLdF2QzQdRSIXmNXKINjRvZpPTrvZv4k4NlJrFYTfOc3c
root_password_sha2 = e472e1436cbe87774c1bc75d0a646d67e506bea1dff8701fd41f34bca33e1419   

Als Nächstes musst du auch eine Bindungsadresse für deinen Server definieren, wie unten gezeigt:

http_bind_address = 127.0.0.1:9000

Speichere und schließe die Datei, wenn du fertig bist. Starte dann den Graylog-Dienst und aktiviere ihn mit folgendem Befehl, damit er beim Neustart des Systems startet:

systemctl daemon-reload
systemctl start graylog-server
systemctl enable graylog-server

Als Nächstes kannst du den Status des Graylog-Servers mit dem folgenden Befehl überprüfen:

systemctl status graylog-server

Du solltest die folgende Ausgabe sehen:

? graylog-server.service - Graylog server
     Loaded: loaded (/lib/systemd/system/graylog-server.service; disabled; vendor preset: enabled)
     Active: active (running) since Sun 2022-09-25 07:25:13 UTC; 10s ago
       Docs: http://docs.graylog.org/
   Main PID: 78082 (graylog-server)
      Tasks: 44 (limit: 4579)
     Memory: 539.4M
        CPU: 18.488s
     CGroup: /system.slice/graylog-server.service
             ??78082 /bin/sh /usr/share/graylog-server/bin/graylog-server
             ??78119 /usr/bin/java -Xms1g -Xmx1g -XX:NewRatio=1 -server -XX:+ResizeTLAB -XX:-OmitStackTraceInFastThrow -Djdk.tls.acknowledgeC>

Sep 25 07:25:13 ubuntu2204 systemd[1]: Started Graylog server.
Sep 25 07:25:13 ubuntu2204 graylog-server[78119]: OpenJDK 64-Bit Server VM warning: Option UseConcMarkSweepGC was deprecated in version 9.0 a>
Sep 25 07:25:14 ubuntu2204 graylog-server[78119]: WARNING: sun.reflect.Reflection.getCallerClass is not supported. This will impact performan>
Sep 25 07:25:17 ubuntu2204 graylog-server[78119]: WARNING: An illegal reflective access operation has occurred
Sep 25 07:25:17 ubuntu2204 graylog-server[78119]: WARNING: Illegal reflective access by retrofit2.Platform (file:/usr/share/graylog-server/gr>
Sep 25 07:25:17 ubuntu2204 graylog-server[78119]: WARNING: Please consider reporting this to the maintainers of retrofit2.Platform
Sep 25 07:25:17 ubuntu2204 graylog-server[78119]: WARNING: Use --illegal-access=warn to enable warnings of further illegal reflective access >
Sep 25 07:25:17 ubuntu2204 graylog-server[78119]: WARNING: All illegal access operations will be denied in a future release

Du kannst das Protokoll des Graylog-Servers auch mit dem folgenden Befehl überprüfen:

tail -f /var/log/graylog-server/server.log

Wenn der Graylog-Server erfolgreich gestartet wurde, solltest du die folgende Ausgabe erhalten:

2022-09-25T07:25:40.117Z INFO  [ServerBootstrap] Services started, startup times in ms: {FailureHandlingService [RUNNING]=73, GeoIpDbFileChangeMonitorService [RUNNING]=88, PrometheusExporter [RUNNING]=88, OutputSetupService [RUNNING]=89, JobSchedulerService [RUNNING]=89, InputSetupService [RUNNING]=90, BufferSynchronizerService [RUNNING]=91, LocalKafkaMessageQueueReader [RUNNING]=92, LocalKafkaMessageQueueWriter [RUNNING]=92, GracefulShutdownService [RUNNING]=93, MongoDBProcessingStatusRecorderService [RUNNING]=93, UserSessionTerminationService [RUNNING]=101, StreamCacheService [RUNNING]=133, LocalKafkaJournal [RUNNING]=134, UrlWhitelistService [RUNNING]=134, ConfigurationEtagService [RUNNING]=137, EtagService [RUNNING]=139, PeriodicalsService [RUNNING]=174, LookupTableService [RUNNING]=203, JerseyService [RUNNING]=4076}
2022-09-25T07:25:40.133Z INFO  [ServerBootstrap] Graylog server up and running.

Zu diesem Zeitpunkt ist der Graylog-Server gestartet und lauscht auf Port 9000. Du kannst dies mit dem folgenden Befehl überprüfen:

ss -antpl | grep 9000

Du solltest die folgende Ausgabe erhalten:

LISTEN            0                 4096                         [::ffff:127.0.0.1]:9000                                    *:*                users:(("java",pid=78119,fd=56))                                                                                                             

Nginx als Reverse Proxy für Graylog konfigurieren

Als Nächstes musst du Nginx als Reverse Proxy installieren und konfigurieren, damit du über Port 80 auf den Graylog-Server zugreifen kannst.

Installiere zunächst den Nginx-Server mit dem folgenden Befehl:

apt install nginx -y

Nach der Installation des Nginx-Servers erstellst du mit dem folgenden Befehl eine neue Konfigurationsdatei für den virtuellen Nginx-Host:

nano /etc/nginx/sites-available/graylog.conf

Füge die folgenden Zeilen hinzu:

server {
    listen 80;
    server_name graylog.example.org;

location /
    {
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-Host $host;
      proxy_set_header X-Forwarded-Server $host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Graylog-Server-URL http://$server_name/;
      proxy_pass       http://208.117.84.72:9000;
    }

}

Speichere und schließe die Datei, wenn du fertig bist. Überprüfe dann Nginx mit folgendem Befehl auf Syntaxfehler:

nginx -t

Du solltest die folgende Ausgabe erhalten:

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

Als Nächstes aktivierst du die Konfigurationsdatei für den virtuellen Nginx-Host mit folgendem Befehl:

ln -s /etc/nginx/sites-available/graylog.conf /etc/nginx/sites-enabled/

Als Nächstes entfernst du die Nginx-Standarddatei für virtuelle Hosts:

rm -rf /etc/nginx/sites-enabled/default

Starte abschließend den Nginx-Dienst neu, um die Änderungen zu übernehmen:

systemctl restart nginx

Als Nächstes überprüfst du den Status des Graylogs mit dem folgenden Befehl:

systemctl status nginx

Du solltest die folgende Ausgabe erhalten:

? nginx.service - A high performance web server and a reverse proxy server
     Loaded: loaded (/lib/systemd/system/nginx.service; enabled; vendor preset: enabled)
     Active: active (running) since Sun 2022-09-25 07:30:45 UTC; 8s ago
       Docs: man:nginx(8)
    Process: 78980 ExecStartPre=/usr/sbin/nginx -t -q -g daemon on; master_process on; (code=exited, status=0/SUCCESS)
    Process: 78981 ExecStart=/usr/sbin/nginx -g daemon on; master_process on; (code=exited, status=0/SUCCESS)
   Main PID: 78982 (nginx)
      Tasks: 3 (limit: 4579)
     Memory: 3.3M
        CPU: 49ms
     CGroup: /system.slice/nginx.service
             ??78982 "nginx: master process /usr/sbin/nginx -g daemon on; master_process on;"
             ??78983 "nginx: worker process" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" ""
             ??78984 "nginx: worker process" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" "" ""

Sep 25 07:30:45 ubuntu2204 systemd[1]: Starting A high performance web server and a reverse proxy server...
Sep 25 07:30:45 ubuntu2204 systemd[1]: Started A high performance web server and a reverse proxy server.

Zugriff auf die Graylog-Weboberfläche

Öffne nun deinen Webbrowser und gib die URL http://graylog.example.com ein. Du wirst zur Graylog-Anmeldeseite weitergeleitet (siehe unten):

Gib deinen Admin-Benutzernamen und dein Passwort ein und klicke auf die Schaltfläche Login. Auf der folgenden Seite solltest du das Graylog Dashboard sehen:

Fazit

Herzlichen Glückwunsch! Du hast den Graylog-Server mit Nginx als Reverse Proxy auf Ubuntu 22.04 erfolgreich installiert und konfiguriert. Jetzt kannst du den Graylog erkunden und einen Eingang erstellen, um Rsyslog-Protokolle von externen Quellen zu empfangen. Wenn du noch Fragen hast, kannst du dich gerne an mich wenden.