Open Source

Ubuntu 20.10 Üzerinde Graylog Kurulumu

Merhabalar. Bu makalemizde Ubuntu 20.10 LTS üzerinden Graylog kurulumu gerçekleştireceğiz. Graylog, sistem logları ve uygulama loglarınızı merkezi olarak bir noktada toplar, analiz yapmamıza ve dashboard aksiyonlarını alacağımız açık kaynaklı bir loglama sistemidir.

Kullanıcı dostu bir web arayüzüne sahip olan graylog, syslog dışında kendi formatı olan GELF ile de loglama yapmaktadır. Mimarisi Elasticsearch ve Mongodb ile oluşmaktadır. Graylog yazılımını ortamınıza göre şekillendirebilirsiniz. Windows Server üzerinde bulundurduğunuz File Server için Graylog kullanarak Audit yapabilirsiniz.

Graylog 2009 yılında Almanya’da kuruldu ilk kurulduğu zaman Torch ismi ile anılıyordu ve şuan merkez binası Texas’ta hizmet vermektedir.

Geçenlerde Ubuntu 20.10 LTS ve diğer türevlerinin yayınlandığı haberini vermiştik. Bugün Graylog yazılımını Ubuntu 20.10 LTS üzerinde konumlandıracağız.

Ortamınızda eğer Ubuntu 20.04 LTS hazır olarak varsa 20.10 LTS sürümüne Upgrade edebilirsiniz.

20.04 sisteminizi Upgrade etmeden önce depolarını güncellemeniz gerekmekte.

sudo apt update

sudo apt upgrade

sudo apt dist-upgrade

Sistemde gerekli olmayan paketlerinizi kaldırmanız gerekmekte.

sudo apt autoremove

Upgrade işlemine başlamadan önce yapılandırma yapmamız gereken “Sürüm Yükseltici” dosyamızı yapılandırıyoruz.

nano /etc/update-manager/release-upgrades

Normal olarak yapılandırıp kaydediyoruz.

Upgrade öncesi ön hazırlığımızı bitirdikten sonra, Ubuntu 20.04 olan sistemimizi 20.10 sürümüne yükseltmeye hazırız.

sudo do-release-upgrade

Yükseltme işlemi 10 – 15 dakika sürmektedir.

Bütün işlemlerimiz tamam ise Graylog kurulumuna geçebiliriz demektir.  Ben işlemlerimi SSH üzerinden bağlanarak ilerleteceğim. SSH Bağlantısı için “MOBAXTERM” yazılımını kullanmaktayım. Free ve ücretli sürümü bulunmakta ücretsiz sürümü işimi fazlasıyla gördüğü için ücretsiz sürümü ile devam etmekteyim. Yaptığınız işlemleri kaydetmenize olanak sağlayan, otomatik sftp yapan, 4 ayrı pencerede aynı anda işlem yapmanıza olanak sağlayan, telnet, rsh/rlogin, rdp, vnc, xdmcp, x11, ftp  emülatör yazılımıdır.

Öncelikle Java kurulumu ile başlayacağız.

sudo apt-get install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen

Java kurulumu bittikten sonra, java için versiyon çıktısı görüntülemek istiyorum.

java -version

Eğer Java kurulumu sırasında paket bulunamadı veya erişim sağlanamadı tarzında bir hata alırsanız aşağıdaki komutları kullanabilirsiniz.

sudo add-apt-repository universe

sudo apt-get update && sudo apt-get upgrade

sudo apt-get install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen

Mongo DB kurulumuna geçiyoruz. MongoDB’yi gelen logları tutmak için kullanmayacağız. Graylog web arayüzü olan bir yazılım olduğu için yaptığımız konfigürasyonları saklaması için kullanacağız.

Öncelikle MongoDB’yi depolarımıza ekliyorum ve paket güncellemesi yapıyorum.

sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 9DA31620334BD75D9DCB49F368818C72E52529D4

echo "deb [ arch=amd64 ] https://repo.mongodb.org/apt/ubuntu bionic/mongodb-org/4.0 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-4.0.list

sudo apt-get update

Kurulum için komutumu girebiliriz.

 sudo apt-get install -y mongodb-org

MondoDB kurulumu tamamlandığına göre MongoDB servislerini başlatabiliriz.

sudo systemctl daemon-reload

sudo systemctl enable mongod.service

sudo systemctl restart mongod.service

sudo systemctl --type=service --state=active | grep mongod

ElasticSearch kurulumuna geçiyoruz. ElasticSearch, bir text arama motoru ve veri analiz aracı olarak hizmet sağlıyor. Depolarımıza ekliyoruz ve gerekli yükleme işlemini başlatıyoruz.

wget -q https://artifacts.elastic.co/GPG-KEY-elasticsearch -O myKey

sudo apt-key add myKey

echo "deb https://artifacts.elastic.co/packages/oss-6.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-6.x.list

sudo apt-get update && sudo apt-get install elasticsearch-oss

ElasticSearch kurulumu tamamlandığında, config dosyasında clustername parametresinde değişiklik yapacağız. Cluster.Name parametresini Graylog olacak şekilde değiştiriyoruz.

ElastikSearch servislerini başlatabiliriz.

sudo systemctl daemon-reload

sudo systemctl enable elasticsearch.service

sudo systemctl restart elasticsearch.service

sudo systemctl --type=service --state=active | grep elasticsearch

Graylog depo yapılandırmasını ve kurulumunu yapabiliriz.

wget https://packages.graylog2.org/repo/packages/graylog-3.3-repository_latest.deb

sudo dpkg -i graylog-3.3-repository_latest.deb

sudo apt-get update && sudo apt-get install graylog-server graylog-enterprise-plugins graylog-integrations-plugins graylog-enterprise-integrations-plugins

Graylog servisini başlatmadan önce yapılandırmamız gereken dosyalar mevcut. Yapılandırma işlemini gerçekleştirirken Root şifresi belirleyeceğiz ama root şifremizin SHA256 değerini girmemiz gerekiyor. Hash değerini elde etmemiz için aşağıdaki komutu kullanacağız. Çıktıda gözüken değeri not alınız.

echo -n parolanız | sha256sum

Yapılandırma dosyamızı açıyoruz ve password-secret kısmına parolamızın hash değerini yazıyoruz.

nano /etc/graylog/server/server.conf

Hash değerimizi yapılandırdıktan sonra düzeltmemiz gereken diğer alanlara geçiyoruz. Bunlar şu şekilde;

Root_password_sha2: Belirlediğimiz şifrenin sha değerini giriyoruz.

Root_email: email adresinizi giriyorsunuz.

Root_timezone: Europa/ISTANBUL

http_Bind_Address: Sunucunuza ait ip adresini giriyorsunuz (Port:9000)

Graylog servislerimizi başlatabiliriz.

sudo systemctl daemon-reload

sudo systemctl enable graylog-server.service

sudo systemctl start graylog-server.service

sudo systemctl --type=service --state=active | grep graylog

Graylog kurulumumuz tamamlandı. Hemen arayüze giriş yapıyorum.

Kullanıcı adımız ve şifremizle girişi sağlıyoruz ve panelimize erişim sağlanıyor. Graylog şuan boş hiçbir şekilde log gönderimi olmuyor ve veri toplama işlemi yapamıyor. Bir sonraki yazımda Graylog sunucumuza Linux ve Windows Serverlar üzerinden log gönderim işlemini anlatacağım.

Bir sonraki makalemde görüşmek üzere.

Zaman ayırıp okuduğunuz için teşekkür ederim..

İlgili Makaleler

6 Yorum

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu