So installierst du Graylog unter Ubuntu 24.04
Graylog ist eine kostenlose und quelloffene Log-Management-Plattform zum Erfassen, Speichern und Analysieren deiner Daten und Logs in Echtzeit. Sie ist in Java geschrieben und baut auf Open-Source-Software wie MongoDB und Elasticsearch auf.
Graylog ist eine der effizientesten, schnellsten und flexibelsten Plattformen für zentrales Log-Management. Mit Graylog kannst du sowohl strukturierte als auch unstrukturierte Daten aus nahezu jeder Datenquelle senden und analysieren.
In diesem Tutorial erfährst du, wie du den Graylog-Server auf Ubuntu 24.04 installierst. Du wirst Graylog mit MongoDB und Elasticsearch installieren.
Voraussetzungen
Um dieses Tutorial durchzuführen, musst du Folgendes haben:
- Einen Ubuntu 24.04 Server mit mindestens 4 oder 8 GB Arbeitsspeicher
- Einen Nicht-Root-Benutzer mit Administrator-Rechten
Installation von MongoDB
Um Graylog zu installieren, musst du zuerst MongoDB installiert haben. Zurzeit unterstützt Graylog nur MongoDB v5.x-7.x, und in diesem Abschnitt wirst du MongoDB 7.x auf deinem Ubuntu-Server installieren.
Führe zunächst den unten stehenden Befehl aus, um einige Abhängigkeiten zu installieren.
sudo apt install apt-transport-https gnupg2 uuid-runtime pwgen curl dirmngr -y
Füge nun den MongoDB GPG-Schlüssel und das Repository mit dem folgenden Befehl hinzu. In diesem Beispiel verwendest du MongoDB 7.0 für die vorherige Ubuntu-Version.
curl -fsSL <https://www.mongodb.org/static/pgp/server-7.0.asc> | \ sudo gpg -o /usr/share/keyrings/mongodb-server-7.0.gpg \ --dearmor
echo "deb [ arch=amd64,arm64 signed-by=/usr/share/keyrings/mongodb-server-7.0.gpg ] https://repo.mongodb.org/apt/ubuntu jammy/mongodb-org/7.0 multiverse" | \ sudo tee /etc/apt/sources.list.d/mongodb-org-7.0.list
Sobald das Repository hinzugefügt ist, führst du den Befehl „apt“ aus, um deinen Ubuntu-Paketindex zu aktualisieren und MongoDB auf deinem System zu installieren.
sudo apt update && sudo apt install mongodb-org
Gib„Y“ ein, um die Installation zu bestätigen.
Nachdem die Installation abgeschlossen ist, starte und aktiviere den „mongod„-Dienst mit dem unten stehenden Befehl.
sudo systemctl enable --now mongod
Überprüfe abschließend den„mongod„-Dienst, um sicherzustellen, dass der Dienst läuft. Du solltest sehen, dass MongoDB auf deinem System läuft.
sudo systemctl status mongod
Installation von Elasticsearch
Nachdem du MongoDB installiert hast, musst du Elasticsearch installieren. Dazu musst du zuerst Java OpenJDK und dann Elasticsearch installieren. Im Moment unterstützt der Graylog-Server nur Elasticsearch v7.x.
Um Java OpenJDK zu installieren, führe den unten stehenden Befehl „apt“ aus. Gib„Y“ ein, um mit der Installation fortzufahren.
sudo apt install openjdk-11-jre-headless
Überprüfe nun die Java-Version mit folgendem Befehl. Du solltest sehen, dass Java OpenJDK 11 installiert wurde.
java --version
Nachdem Java installiert ist, kannst du Elasticsearch installieren.
Führe den folgenden Befehl aus, um den GPG-Schlüssel und das Repository für Elasticsearch hinzuzufügen. In diesem Beispiel installierst du Elasticsearch 7.x.
wget -qO - <https://artifacts.elastic.co/GPG-KEY-elasticsearch> | apt-key add - echo "deb https://artifacts.elastic.co/packages/oss-7.x/apt stable main" | \ sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
Führe nun den folgenden Befehl aus, um dein Ubuntu-Repository zu aktualisieren und das Paket „elasticsearch“ zu installieren. Gib zur Bestätigung „Y“ ein.
sudo apt update && sudo apt install elasticsearch
Nach der Installation öffnest du die Elasticsearch-Konfigurationsdatei„/etc/elasticsearch/elasticsearch.yml“ mit dem Editor„nano„.
sudo nano /etc/elasticsearch/elasticsearch.yml
Ändere den Standardwert„cluster.name“ und setze„action.auto_create_index“ auf„false“ wie im Folgenden beschrieben:
cluster.name: graylog action.auto_create_index: false
Speichere die Datei und beende den Editor.
Führe nun den Befehl„systemctl“ aus, um den systemd Manager neu zu laden, zu starten und den Elasticsearch-Dienst zu aktivieren.
sudo systemctl daemon-reload sudo systemctl enable --now elasticsearch
Wenn Elasticsearch läuft, kannst du es mit dem unten stehenden Befehl überprüfen.
sudo systemctl status elasticsearch
Die folgende Ausgabe bestätigt, dass Elasticsearch läuft.
Du kannst Elasticsearch auch mit dem unten stehenden „curl„-Befehl überprüfen.
curl -X GET http://localhost:9200
Wenn Elasticsearch läuft, kannst du seine Versionsnummer und den Clusternamen wie folgt sehen.
Installation von Graylog
Nachdem du nun MongoDB und Elasticsearch installiert hast, kannst du Graylog auf deinem Server installieren. In diesem Abschnitt wirst du Graylog installieren und die Passwortauthentifizierung für deine Installation einrichten.
Lade das Graylog-Repository-Paket mit dem Befehl „wget“ herunter und installiere es mit dem Befehl „dpkg“ wie folgt:
wget https://packages.graylog2.org/repo/packages/graylog-6.1-repository_latest.deb sudo dpkg -i graylog-6.1-repository_latest.deb
Führe nun den Befehl „apt“ aus, um deinen Ubuntu-Paketindex zu aktualisieren und das Paket „graylog-server“ zu installieren. Gib „Y“ ein, um die Installation zu bestätigen.
sudo apt update && sudo apt install graylog-server
Nach der Installation musst du zwei Passwörter, „password_secret“ und „root_password_sha2„, für Graylog erstellen.
Um das „password_secret“ zu erzeugen, führe den folgenden Befehl aus. Achte darauf, dass du das generierte Passwort kopierst.
< /dev/urandom tr -dc A-Z-a-z-0-9 | head -c${1:-96};echo;
Für das Passwort „root_password_sha2“ führst du den folgenden Befehl aus. Gib dein Passwort ein, wenn du dazu aufgefordert wirst, und kopiere das generierte sha-Passwort.
echo -n "Enter Password: " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1
Nachdem du die Graylog-Passwörter erstellt hast, musst du die Graylog-Konfigurationsdatei ändern.
Öffne die Datei„/etc/graylog/server/server.conf“ mit dem folgenden„nano„-Editor.
sudo nano /etc/graylog/server/server.conf
Füge dein generiertes Passwort für „password_secret“ und „root_password_sha2“ ein. Dann änderst du die Standard-„http_bind_address“ in deine lokale IP-Adresse.
password_secret = PoMVlAiuJLA89rNAtLWz0PF7TLwX3JEQD7zp1kfOGAwdr0P-oQ0HKoebpevpPK2Q2quvjmqHQreP1yQYTX0jDjIe3JcBU5J root_password_sha2 = a7fdfe53e2a13cb602def10146388c65051c67e60ee55c051668a1c709449111 http_bind_address = 192.168.10.60:9000
Speichere die Datei und beende den Editor.
Als Nächstes führst du den folgenden „systemctl„-Befehl aus, um den systemd Manager neu zu laden und den Dienst „graylog-server“ zu starten und zu aktivieren.
sudo systemctl daemon-reload sudo systemctl enable --now graylog-server
Überprüfe schließlich den Status des „graylog-server“ mit diesem Befehl. Wenn deine Installation erfolgreich war, siehst du, dass Graylog auf deinem Ubuntu-Server läuft.
sudo systemctl status graylog-server
Graylog konfigurieren
Jetzt läuft Graylog auf deinem Ubuntu-Server. Jetzt kannst du Graylog über einen Webbrowser konfigurieren.
Bevor du auf Graylog zugreifst, überprüfe die Protokolldatei „/var/log/graylog-server/server.log“ mit dem unten stehenden Befehl. Kopiere den Link zum Konfigurieren deiner Graylog-Installation und füge ihn in deinen Browser ein.
cat /var/log/graylog-server/server.log
Jetzt siehst du die Seite zur Ersteinrichtung von Graylog. Hier konfigurierst du die SSL-Zertifikate für den Graylog-Datenknoten wie folgt:
- Gib den Namen deiner Organisation ein
Gib die Ablauftage des Zertifikats ein
Überspringe die Bereitstellung des Zertifikats für den Datenknoten
Wenn du fertig bist, klicke auf „Start fortsetzen„, um fortzufahren.
Jetzt wirst du auf die Graylog-Anmeldeseite weitergeleitet. Gib den Standardbenutzer „admin“ mit dem Passwort in der Option „root_password_sha2“ ein.
Wenn du den richtigen Benutzernamen und das richtige Passwort hast, siehst du das Graylog-Dashboard wie folgt:
Fazit
Herzlichen Glückwunsch! Du hast die Installation von Graylog auf dem Ubuntu 24.04 Server abgeschlossen. Du hast Graylog mit MongoDB 7.x und Elasticsearch 7.x zum Laufen gebracht. Von hier aus kannst du jetzt neue Graylog-Eingänge erstellen, um Logs an deinen Graylog-Server zu senden.