Tous les systèmes, applications et logiciels génèrent des informations qui sont stockées dans des fichiers appelés journaux. Ces journaux doivent être surveillés en permanence pour assurer le bon fonctionnement du système en question et prévenir les erreurs ou les risques de sécurité. Ils sont souvent dispersés sur plusieurs serveurs et, à mesure que le volume de données augmente, leur gestion devient de plus en plus complexe.
Graylog est un système de gestion de journaux de niveau entreprise gratuit et open source qui comprend Elasticsearch, MongoDB et un serveur Graylog. Il se compose du serveur principal, qui reçoit les données de ses clients installés sur différents serveurs, ainsi que d’une interface Web, qui permet de visualiser les données collectées par le serveur. Graylog est un outil similaire à Splunk et LogStash.
Dans ce tutoriel, nous apprenons à installer Graylog 4 au Ubuntu 20.04. Nous allons également sécuriser le serveur Graylog avec un certificat SSL en utilisant Let’s Encrypt.
Exigences:
- Machine Ubuntu 20.04 ou version ultérieure
- Matériel – 4 cœurs de processeur, 8 Go de RAM, disque dur SSD avec IOPS élevées pour le stockage de journaux Elasticsearch
- Recherche élastique
- MongoDB
- Oracle Java SE 8 (OpenJDK 8 ou supérieur)
Étape 1 : installez MongoDB sur Ubuntu 20.04
Graylog utilise MongoDB pour stocker les données de configuration telles que les flux, les alertes, les utilisateurs, les paramètres, etc. Seules les métadonnées sont stockées et ne stockent pas les données des journaux. Commençons par installer MongoDB sur Ubuntu 20.04.
Tout d’abord, installez tous les packages de prérequis :
$ sudo apt update
$ sudo apt install apt-transport-https openjdk-11-jre-headless uuid-runtime pwgen dirmngr gnupg wget
Importez maintenant la clé publique GPG :
$ wget -qO - https://www.mongodb.org/static/pgp/server-5.0.asc | sudo apt-key add -
Pour créer un fichier de liste source, tapez :
$ sudo touch /etc/apt/sources.list.d/mongodb-org-5.0.list
Maintenant, ajoutez la source du référentiel pour Ubuntu 20.04 :
$ echo "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/ubuntu focal/mongodb-org/5.0 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-5.0.list
Maintenant, mettez à jour l’index apt :
$ sudo apt update
Pour installer MongoDB sur Ubuntu, tapez :
$ sudo apt install mongodb-org
Le service MongoDB ne démarrera pas automatiquement une fois le processus d’installation terminé. Pour démarrer le service et activer le service, tapez :
$ sudo systemctl enable --now mongod.service
Vérifiez l’état du service MongoDB :
$ sudo systemctl status mongod.service
Sortir:
● mongod.service - MongoDB Database Server
Loaded: loaded (/lib/systemd/system/mongod.service; disabled; vendor preset: enabled)
Active: active (running) since Sun 2021-08-22 04:47:46 UTC; 3s ago
Docs: https://docs.mongodb.org/manual
Main PID: 17965 (mongod)
Memory: 66.1M
CGroup: /system.slice/mongod.service
└─17965 /usr/bin/mongod --config /etc/mongod.conf
Aug 22 04:47:46 li175-223 systemd[1]: Started MongoDB Database Server.
Comme le montre la sortie, MongoDB a démarré et le service est opérationnel.
Vous pouvez vérifier la version de MongoDB qui est installée
$ sudo mongod --version
db version v5.0.2
Build Info: {
"version": "5.0.2",
"gitVersion": "6d9ec525e78465dcecadcff99cce953d380fedc8",
"openSSLVersion": "OpenSSL 1.1.1f 31 Mar 2020",
"modules": [],
"allocator": "tcmalloc",
"environment": {
"distmod": "ubuntu2004",
"distarch": "x86_64",
"target_arch": "x86_64"
}
}
La sortie montre que nous avons installé MongoDB version 5.0.2.
Étape 2 : Installez Elasticsearch sur Ubuntu 20.04
Graylog stocke toutes les données de journal dans Elasticsearch. Reportez-vous au site Web officiel de Graylog pour la version prise en charge de élastiqueseach.
Elasticseach a besoin de Java, il est livré avec la version Java d’OpenJDK
Importez la clé GPG du dépôt :
$ wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
Ensuite, ajoutez le référentiel Elasticsearch :
# echo "deb https://artifacts.elastic.co/packages/oss-7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
Maintenant, mettez à jour le référentiel
$ sudo apt update
Enfin, installez la version open source d’elasticsearch en tapant :
$ sudo apt install elasticsearch-oss
Modifiez le fichier de configuration d’elasticsearch pour définir certaines informations comme le nom du cluster, l’adresse IP sur laquelle l’elasticsearch est à l’écoute et le numéro de port
$ sudo vi /etc/elasticsearch/elasticsearch.yml
cluster.name: graylog-server
network.host: 0.0.0.0
http.port: 9200
discovery.zen.ping.unicast.hosts: ["127.0.0.1"]
action.auto_create_index: false
Les principaux fichiers de configuration et répertoire d’Elasticsearch sont :
Les données sont stockées – répertoire /var/lib/elasticsearch.
Fichiers de configuration – répertoire /etc/elasticsearch
Options de démarrage Java – fichier /etc/default/elasticsearch
Elasticsearch est livré avec une version groupée d’OpenJDK. Pour utiliser votre propre version de Java, définissez la variable d’environnement ES_JAVA_HOME.
Vous pouvez activer et démarrer le service Elasticsearch à l’aide d’une seule commande :
$ sudo systemctl enable --now elasticsearch.service
Vérifiez maintenant que le service s’exécute correctement à l’aide de la commande suivante :
$ sudo systemctl status elasticsearch.service
Sortir:
● elasticsearch.service - Elasticsearch
Loaded: loaded (/lib/systemd/system/elasticsearch.service; disabled; vendor preset: enabled)
Active: active (running) since Sun 2021-08-22 12:38:24 UTC; 11min ago
Docs: https://www.elastic.co
Main PID: 19502 (java)
Tasks: 41 (limit: 1071)
Memory: 833.2M
CGroup: /system.slice/elasticsearch.service
├─19502 /bin/java -Xms1g -Xmx1g -XX:+UseConcMarkSweepGC -XX:CMSInitiatingOccupancyFraction=75 -XX:+UseCMSInitiatingOccupancyOnly -Des.networkaddress.cache.ttl=60 -Des.networkaddress.cache.negat>
└─19565 /usr/share/elasticsearch/modules/x-pack-ml/platform/linux-x86_64/bin/controller
Aug 22 12:38:24 li663-124 systemd[1]: Started Elasticsearch.
Appuyez sur q pour quitter, revenir à l’invite de commande.
Elasticsearch par défaut fonctionne sur le port 9200, vous devez l’ouvrir sur le pare-feu.
$ sudo ufw allow 9200
Vous pouvez vérifier si cela fonctionne
$ sudo curl -XGET 'https://localhost:9200'
"name" : "Ubuntunode",
"cluster_name" : "graylog-server",
"cluster_uuid" : "sz3jP3rKTPWZlasWwD-rBg",
"version" : {
"number" : "7.10.2",
"build_flavor" : "oss",
"build_type" : "deb",
"build_hash" : "747e1cc71def077253878a59143c1f785afa92b9",
"build_date" : "2021-01-13T00:42:12.435326Z",
"build_snapshot" : false,
"lucene_version" : "8.7.0",
"minimum_wire_compatibility_version" : "6.8.0",
"minimum_index_compatibility_version" : "6.0.0-beta1"
},
"tagline" : "You Know, for Search"
}
Avec la sortie de la commande, vous pouvez voir la ligne "number": "7.10.2" afficher la version d’elasticsearch.
Étape 3 : Installez Graylog sur Ubuntu 20.04
Graylog collecte les journaux des différentes entrées et fournit la sortie à l’interface Web qu’il propose pour gérer les journaux.
Tout d’abord, nous devrons télécharger le fichier Graylog Repo à l’aide de la commande wget :
$ wget https://packages.graylog2.org/repo/packages/graylog-4.1-repository_1-3_all.deb
Pour configurer le référentiel Graylog, tapez :
$ sudo dpkg -i graylog-4.1-repository_1-3_all.deb
Nous pouvons maintenant installer le serveur Graylog
$ apt update
$ sudo apt install graylog-server
Activer et démarrer le service serveur graylog
$ sudo systemctl enable --now graylog-server.service
Modifier le fichier de configuration
Maintenant, nous devons définir le password_secret et la valeur hast de votre graylog racine root_password_sha2.
Pour définir un secret pour sécuriser les mots de passe des utilisateurs, vous pouvez utiliser la commande pwgen :
$ pwgen -N 1 -s 96
8KOikhjxetTdcJ7qhtPlgtLgBqCX5y4vL36Ig423pqUQn32QatiecCcYol5UEw3XDzwgWDvcFOmMBJzkBZKC52aEpBrItwke
Maintenant, éditez le fichier de configuration pour définir le mot de passe
$ sudo vi /etc/graylog/server/server.conf
password_secret = RlTRqWSBENLKeg89iAWlxSaf1zfqLvBW7VX5SH1d2ji3RMKyeXb8bmfOXLl3GaWkxp9oDRfvbjXiEr36AFd6T9CMmnjdG7dn
Il faut maintenant définir la valeur de hachage de votre compte de mot de passe root Graylog
$ echo -n GraylogRootPassword | shasum -a 256
4b09467e174a03d5ebd720d514f57783ad1e03b4877fff5e0dc45356340ab215 -
Vous pouvez maintenant le copier et le coller
sudo vi /etc/graylog/server/server.conf
root_password_sha2 = 4b09467e174a03d5ebd720d514f57783ad1e03b4877fff5e0dc45356340ab215
Vous pouvez ajouter des informations supplémentaires comme l’adresse e-mail racine Graylog et l’interface réseau utilisée par l’interface HTTP Graylog
root_email = "[email protected]"
root_timezone = UTC
http_bind_address = 0.0.0.0:9000
Vous devriez ouvrir les ports sur votre pare-feu
$ sudo ufw allow 9000
Activer et démarrer le service serveur graylog
$ sudo systemctl enable --now graylog-server.service
Vous pouvez trouver les données de journal pour Graylog /var/log/graylog-server/server.log et utiles pour le débogage ou lorsque le serveur ne démarre pas.
Vous pouvez voir la page d’accueil en entrant l’adresse IP publique de votre serveur et le numéro de port de votre navigateur, c’est-à-dire https://admin et le mot de passe est celui utilisé pour la valeur de hachage
Étape 4 : configuration de Nginx en tant que proxy de terminaison SSL (facultatif)
Il est recommandé de sécuriser votre interface Web Graylog avec HTTPS. Ici, utilisera Nginx comme proxy inverse et générera un certificat SSL gratuit pour le domaine à l’aide de Let’s Encrypt.
Tout d’abord, nous devrons installer Nginx, puis cerbot pour le certificat let’s encrypt.
Maintenant, installons Nginx
$ sudo apt install nginx
Autorisons maintenant Nginx sur le pare-feu
$ sudo ufw allow 'Nginx Full'
Modifions maintenant le contenu de notre fichier de configuration de nom de domaine. N’oubliez pas de remplacer le nom du fichier par votre nom de domaine
$ sudo vim /etc/nginx/sites-available/websitefortesting.com.conf
server {
listen 80;
server_name websitefortesting.com;
add_header Strict-Transport-Security max-age=2592000;
rewrite ^ https://$server_name$request_uri? permanent;
access_log /var/log/nginx/websitefortesting.com.access.log combined;
error_log /var/log/nginx/websitefortesting.com.error.log;
}
Maintenant, activons-le
$ sudo ln -s /etc/nginx/sites-available/websitefortesting.com.conf /etc/nginx/sites-enabled/websitefortesting.com.conf
Vérifiez ensuite si la configuration est bonne
$ sudo nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
Maintenant, nous devons installer cerbot avec le package nécessaire pour nginx
$ sudo apt install certbot python3-certbot-nginx
Maintenant, nous devons exécuter cerbot pour Nginx
$ sudo certbot --nginx
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator nginx, Installer nginx
Enter email address (used for urgent renewal and security notices) (Enter 'c' to
cancel): [email protected]
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must
agree in order to register with the ACME server at
https://acme-v02.api.letsencrypt.org/directory
(A)gree/(C)ancel: A
Would you be willing to share your email address with the Electronic Frontier
Foundation, a founding partner of the Let's Encrypt project and the non-profit
organization that develops Certbot? We'd like to send you email about our work
encrypting the web, EFF news, campaigns, and ways to support digital freedom.
(Y)es/(N)o: N
Which names would you like to activate HTTPS for?
1: websitefortesting.com
Select the appropriate numbers separated by commas and/or spaces, or leave input
blank to select all options shown (Enter 'c' to cancel): 1
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for websitefortesting.com
Waiting for verification…
Cleaning up challenges
Deploying Certificate to VirtualHost /etc/nginx/sites-enabled/websitefortesting.com.conf
Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2
Redirecting all traffic on port 80 to ssl in /etc/nginx/sites-enabled/websitefortesting.com.conf
Congratulations! You have successfully enabled https://websitefortesting.com
You should test your configuration at:
https://www.ssllabs.com/ssltest/analyze.html?d=websitefortesting.com
IMPORTANT NOTES:
Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/websitefortesting.com/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/websitefortesting.com/privkey.pem
Your cert will expire on 2021-11-18. To obtain a new or tweaked
version of this certificate in the future, simply run certbot again
with the "certonly" option. To non-interactively renew all of
your certificates, run "certbot renew"
If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
À partir de la sortie, vous pouvez voir l’emplacement des certificats SSL et la clé privée. Vous pouvez utiliser ces informations pour configurer SSL pour Nginx.
$ sudo vi /etc/nginx/sites-available/websitefortesting.com.conf
server {
listen 80;
server_name websitefortesting.com;
add_header Strict-Transport-Security max-age=2592000;
rewrite ^ https://$server_name$request_uri? permanent;
access_log /var/log/nginx/websitefortesting.com.access.log combined;
error_log /var/log/nginx/websitefortesting.com.error.log;
}
server {
listen 443 ssl; # managed by Certbot
server_name websitefortesting.com;
ssl_certificate /etc/letsencrypt/live/websitefortesting.com/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/websitefortesting.com/privkey.pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
location / { proxy_set_header Host $http_host; proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-Server $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_pass https://127.0.0.1:9000;
}
}
Maintenant, vérifions à nouveau avec
$ sudo nginx -t
Et redémarrez le service Nginx
$ sudo systemctl restart nginx.service
Accédez maintenant à votre URL Graylog en utilisant le nom de domaine avec HTTPS.
Après vous être connecté, vous pouvez voir votre page d’accueil
Conclusion
Dans ce tutoriel, nous avons appris à installer le serveur Graylog sur Ubuntu 20.04, configuré SSL en utilisant Nginx comme proxy inverse.
Si vous rencontrez des difficultés au cours du processus d’installation, n’hésitez pas à commenter ou à poser des questions dans la section commentaires.
