Salam Dostlar!
Bu məqələ ‘Graylog’ syslog serverinin quraşdırılması və ilkin konfiqurasiyaların aparılması ilə bağlıdı. İlk öncə Graylog haqda qısa məlumat vermək istərdim. ELK və SPLUNK kimi proqram təminatlarında olan xüsusiyyətləri özündə cəmləyən,  log monitorinqi həyata keçirən mərkəzləşdirilmiş open source sistemdir.Database olaraq MongoDB(Konfiqurasiya fayllarını və metadata məlumatlarını özündə saxlayır) və Elasticsearch(Backend Storage System olaraq bütün logları saxlayır ) istifadə olunur.

Serverin quraşdırılması bir neçə üsulla aparıla bilər. Virtual Appliances, Operating System packages və s. Ətraflı linkdən tanış ola bilərsiniz (https://www.graylog.org/downloads) .Bu məqalədə isə rpm packagedən istifadə etməklə Graylog server quraşdırılacaq.

1)İlkin  Centos 7 əməliyyat sistemli pc-də müvafiq network konfiqurasiyalar aparılır və static İP təyin olunur.(Qeyd: məqalədə bu ip 10.10.10.33)

2)Graylog Java əsasında qurulduğundan və elasticsearch database bu platformadan istifadə etdiyi  üçün serverə java yazılmalıdı.Bunun üçün yum –y install java  əmrini icra etmək kifayətdir.Daha sonra

java –version yazıb, yüklənmiş  openjdk version ilə tanış ola bilərik

3) İndi isə Mongodb database quraşdırılmalıdı.Bunun üçün etc/yum.repos.d içində mongodb.repo yaradıb faylı aşağıdakı kimi edit edə bilərik

name=MongoDB Repository

baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/3.2/x86_64/

gpgcheck=1

enabled=1

gpgkey=https://www.mongodb.org/static/pgp/server-3.2.asc

Konfiqurasiya faylını save edib  yum install mongodb-org –y əmri ilə databesi yükləyirik.Uğurlu yükləmədən sonra, aşağıdakı əmrləri yazıb MongoDB qurulumunu tamamlayırıq

systemctl start mongodb

systemctl enable mongodb

4)Elasticsearch databesin qurulumu üçün  etc/yum.repos.d içində mongodb.repo faylı yaradıb edit etməliyik

rpm –import https://packages.elastic.co/GPG-KEY-elasticsearch

sudo vi /etc/yum.repos.d/elasticsearch.repo

name=Elasticsearch repository

baseurl=https://packages.elastic.co/elasticsearch/2.x/centos

gpgcheck=1

gpgkey=https://packages.elastic.co/GPG-KEY-elasticsearch

enabled=1

Qeyd: Graylog 2.4 versiyasi ElasticSearch 6.x versiyasi ilə hələki işləmir

 Repo faylını save edib , yum install elasticsearch edirik. Yüklənmə bitdikdən sonra databesi işə salmaq, cluster adinı dəyişmək və healthy statusunu yoxlamaq lazımdır.

sudo systemctl daemon-reload ()

sudo systemctl enable elasticsearch

Cluster name təyin etmək üçün:

vi /etc/elasticsearch/elasticsearch.yml

cluster.name: graylog

Faylı yaddaşa verib servisə restart verərək databesin qurulumunu bitirmiş oluruq.

Systemctl restart elasticsearch.service

Healthy status haqqında bilmək üçün aşağıdakı əmri icra etməliyik

curl -XGET ‘http://localhost:9200/

Əmrin icrasından sonra belə bir pəncərə olmalı

{

“cluster_name” : “graylog”,

“status” : “green”,

“timed_out” : false,

“number_of_nodes” : 1,

“number_of_data_nodes” : 1,

“active_primary_shards” : 0,

“active_shards” : 0,

“relocating_shards” : 0,

“initializing_shards” : 0,

“unassigned_shards” : 0,

“delayed_unassigned_shards” : 0,

“number_of_pending_tasks” : 0,

“number_of_in_flight_fetch” : 0,

“task_max_waiting_in_queue_millis” : 0,

“active_shards_percent_as_number” : 100.0

}

5)İndi isə graylog rpm package yükləyə bilərik.Graylogun bütün versiyaları haqda buradan http://packages.graylog2.org/packages tanış ola bilərsiniz.Son versiya olaraq 2.4  göstərilib.

5.1) rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-2.4-repository_latest.rpm

5.2) yum install graylog-server –y

6)Graylog üçün secret key yaratmaq üçün pwgen dən istifadə edəcəm.Ancaq default olaraq centos da olmadığı üçün epel repo yükləməli və daha sonra pwgen install edə bilərik

6.1) yum install epel-release -y

6.2) yum install pwgen -y

7) Aşağıdakı əmr ilə graylog üçün secret key yaradırıq

pwgen -N 1 -s 96

jVbA2EZ515vlWeinnTndNPnc6bYJ7reyr3sxRRbbsiftMNvqsyz474oxMe3qPxtTRKe5vNH2cvspmMyuguySTo5ctAFAVPKN

Yuxarıdakı sətrə bənzər bir output olacaq və həmin keyi daha sonra istifadə edəcəyimizə görə notepadda save edirik.

İndi isə admin account üçün tərtib etdiyimiz şifrəyə hash password təyin edib, daha sonra istifadə edəcəyimiz üçün notepada qeyd edirik

echo -n technet | sha256sum

Qeyd:Burada mən şifrə olaraq technet təyin etdim

8) Indi isə graylogda server.conf faylında(/etc/graylog/server/server.conf) müəyyən dəyişikliklər aparmalıyıq

password_secret=jVbA2EZ515vlWeinnTndNPnc6bYJ7reyr3sxRRbbsiftMNvqsyz474oxMe3qPxtTRKe5vNH2cvspmMyuguySTo5ctAFAVPKN

root_password_sha2= d071d0f581c060b70e196eec6837af1912f304ae85b0faaa2987c7ac3efc1001

elasticsearch_discovery_zen_ping_unicast_hosts =10.10.10.33:9300

elasticsearch_shards=1

Qeyd: Digər istədiyiniz konfiqurasiyaları email transport və s burada apara bilərsiniz

9) Webdən daxil olmaq üçün server.conf faylında müvafiq tənzimləmələr aparmalıyıq.

rest_listen_uri = http://10.10.10.33:12900/

web_listen_uri = http://10.10.10.33:9000/

Web interface, bütün məlumatları rest listen url də göstərilən addresə əsasən göstərir.

10)  Server.conf da istifadə etdiyimiz dəyisiklikləri yadda saxladıqdan sonra servisləri restart edirik

sudo systemctl daemon-reload

sudo systemctl restart graylog-server

sudo systemctl enable graylog-server

11) Daha sonra centos firewallda  9000 12900 1514 12201 portlarını açib reload veririk

firewall-cmd –permanent –add-port=9000 /tcp

firewall-cmd –permanent –add-port=12900 /tcp

firewall-cmd –permanent –add-port=1514/tcp

firewall-cmd –permanent –add-port=12201/tcp

firewall –cmd –reload

12) Web interfeysə daxil olmaq üçün 10.10.10.33:9000 yazıb browserdən daxil ola bilərik

Graylog serverin ilkin konfiqurasiyasini bitirmiş olduq.

Növbəti məqalə serverlərin və şəbəkə avadanlıqlarının əlavə olunması və web interfeys haqda olacaq.

Graylog barədə daha ətraflı məlumati buradan http://docs.graylog.org/en/2.4/ əldə edə bilərsiniz.
Uğurlar !!!