Ubuntu 20.10 Üzerinde Graylog Kurulumu
Merhabalar. Bu makalemizde Ubuntu 20.10 LTS üzerinden Graylog kurulumu gerçekleştireceğiz. Graylog, sistem logları ve uygulama loglarınızı merkezi olarak bir noktada toplar, analiz yapmamıza ve dashboard aksiyonlarını alacağımız açık kaynaklı bir loglama sistemidir.
Kullanıcı dostu bir web arayüzüne sahip olan graylog, syslog dışında kendi formatı olan GELF ile de loglama yapmaktadır. Mimarisi Elasticsearch ve Mongodb ile oluşmaktadır. Graylog yazılımını ortamınıza göre şekillendirebilirsiniz. Windows Server üzerinde bulundurduğunuz File Server için Graylog kullanarak Audit yapabilirsiniz.
Graylog 2009 yılında Almanya’da kuruldu ilk kurulduğu zaman Torch ismi ile anılıyordu ve şuan merkez binası Texas’ta hizmet vermektedir.
Geçenlerde Ubuntu 20.10 LTS ve diğer türevlerinin yayınlandığı haberini vermiştik. Bugün Graylog yazılımını Ubuntu 20.10 LTS üzerinde konumlandıracağız.
Ortamınızda eğer Ubuntu 20.04 LTS hazır olarak varsa 20.10 LTS sürümüne Upgrade edebilirsiniz.
20.04 sisteminizi Upgrade etmeden önce depolarını güncellemeniz gerekmekte.
sudo apt update
sudo apt upgrade
sudo apt dist-upgrade
Sistemde gerekli olmayan paketlerinizi kaldırmanız gerekmekte.
sudo apt autoremove
Upgrade işlemine başlamadan önce yapılandırma yapmamız gereken “Sürüm Yükseltici” dosyamızı yapılandırıyoruz.
nano /etc/update-manager/release-upgrades
Normal olarak yapılandırıp kaydediyoruz.
Upgrade öncesi ön hazırlığımızı bitirdikten sonra, Ubuntu 20.04 olan sistemimizi 20.10 sürümüne yükseltmeye hazırız.
sudo do-release-upgrade
Yükseltme işlemi 10 – 15 dakika sürmektedir.
Bütün işlemlerimiz tamam ise Graylog kurulumuna geçebiliriz demektir. Ben işlemlerimi SSH üzerinden bağlanarak ilerleteceğim. SSH Bağlantısı için “MOBAXTERM” yazılımını kullanmaktayım. Free ve ücretli sürümü bulunmakta ücretsiz sürümü işimi fazlasıyla gördüğü için ücretsiz sürümü ile devam etmekteyim. Yaptığınız işlemleri kaydetmenize olanak sağlayan, otomatik sftp yapan, 4 ayrı pencerede aynı anda işlem yapmanıza olanak sağlayan, telnet, rsh/rlogin, rdp, vnc, xdmcp, x11, ftp emülatör yazılımıdır.
Öncelikle Java kurulumu ile başlayacağız.
sudo apt-get install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen
Java kurulumu bittikten sonra, java için versiyon çıktısı görüntülemek istiyorum.
java -version
Eğer Java kurulumu sırasında paket bulunamadı veya erişim sağlanamadı tarzında bir hata alırsanız aşağıdaki komutları kullanabilirsiniz.
sudo add-apt-repository universe
sudo apt-get update && sudo apt-get upgrade
sudo apt-get install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen
Mongo DB kurulumuna geçiyoruz. MongoDB’yi gelen logları tutmak için kullanmayacağız. Graylog web arayüzü olan bir yazılım olduğu için yaptığımız konfigürasyonları saklaması için kullanacağız.
Öncelikle MongoDB’yi depolarımıza ekliyorum ve paket güncellemesi yapıyorum.
sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 9DA31620334BD75D9DCB49F368818C72E52529D4
echo "deb [ arch=amd64 ] https://repo.mongodb.org/apt/ubuntu bionic/mongodb-org/4.0 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-4.0.list
sudo apt-get update
Kurulum için komutumu girebiliriz.
sudo apt-get install -y mongodb-org
MondoDB kurulumu tamamlandığına göre MongoDB servislerini başlatabiliriz.
sudo systemctl daemon-reload
sudo systemctl enable mongod.service
sudo systemctl restart mongod.service
sudo systemctl --type=service --state=active | grep mongod
ElasticSearch kurulumuna geçiyoruz. ElasticSearch, bir text arama motoru ve veri analiz aracı olarak hizmet sağlıyor. Depolarımıza ekliyoruz ve gerekli yükleme işlemini başlatıyoruz.
wget -q https://artifacts.elastic.co/GPG-KEY-elasticsearch -O myKey
sudo apt-key add myKey
echo "deb https://artifacts.elastic.co/packages/oss-6.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-6.x.list
sudo apt-get update && sudo apt-get install elasticsearch-oss
ElasticSearch kurulumu tamamlandığında, config dosyasında clustername parametresinde değişiklik yapacağız. Cluster.Name parametresini Graylog olacak şekilde değiştiriyoruz.
ElastikSearch servislerini başlatabiliriz.
sudo systemctl daemon-reload
sudo systemctl enable elasticsearch.service
sudo systemctl restart elasticsearch.service
sudo systemctl --type=service --state=active | grep elasticsearch
Graylog depo yapılandırmasını ve kurulumunu yapabiliriz.
wget https://packages.graylog2.org/repo/packages/graylog-3.3-repository_latest.deb
sudo dpkg -i graylog-3.3-repository_latest.deb
sudo apt-get update && sudo apt-get install graylog-server graylog-enterprise-plugins graylog-integrations-plugins graylog-enterprise-integrations-plugins
Graylog servisini başlatmadan önce yapılandırmamız gereken dosyalar mevcut. Yapılandırma işlemini gerçekleştirirken Root şifresi belirleyeceğiz ama root şifremizin SHA256 değerini girmemiz gerekiyor. Hash değerini elde etmemiz için aşağıdaki komutu kullanacağız. Çıktıda gözüken değeri not alınız.
echo -n parolanız | sha256sum
Yapılandırma dosyamızı açıyoruz ve password-secret kısmına parolamızın hash değerini yazıyoruz.
nano /etc/graylog/server/server.conf
Hash değerimizi yapılandırdıktan sonra düzeltmemiz gereken diğer alanlara geçiyoruz. Bunlar şu şekilde;
Root_password_sha2: Belirlediğimiz şifrenin sha değerini giriyoruz.
Root_email: email adresinizi giriyorsunuz.
Root_timezone: Europa/ISTANBUL
http_Bind_Address: Sunucunuza ait ip adresini giriyorsunuz (Port:9000)
Graylog servislerimizi başlatabiliriz.
sudo systemctl daemon-reload
sudo systemctl enable graylog-server.service
sudo systemctl start graylog-server.service
sudo systemctl --type=service --state=active | grep graylog
Graylog kurulumumuz tamamlandı. Hemen arayüze giriş yapıyorum.
Kullanıcı adımız ve şifremizle girişi sağlıyoruz ve panelimize erişim sağlanıyor. Graylog şuan boş hiçbir şekilde log gönderimi olmuyor ve veri toplama işlemi yapamıyor. Bir sonraki yazımda Graylog sunucumuza Linux ve Windows Serverlar üzerinden log gönderim işlemini anlatacağım.
Bir sonraki makalemde görüşmek üzere.
Zaman ayırıp okuduğunuz için teşekkür ederim..
Eline sağlık.
Hakan Hocam, Teşekkürler
Ellerinize sağlık.
Devamını merakla bekliyorum.
Ali Bey, Teşekkürler. Windows ve Linux istemcileri için gerekli yapılandırmaya aşağıdaki linkten ulaşabilirsiniz. https://www.cozumpark.com/graylog-uzerinden-log-girisi-yapilandirilmasi/
resimlerin bazıları gözükmüyor hata veriyor, bilginize
Aslında resimlerde sorun yoktu, resim olmayan yerlerde anlamsız bir ikon çıkıyordu, Cengiz sağ olsun toparladı.