Graylog zentralisiert Log-Daten aus verschiedenen Quellen und macht sie über Streams, Dashboards und Suchen auswertbar. Die Anleitung richtet den kompletten Stack aus MongoDB, Elasticsearch und Graylog auf Ubuntu ein.
Anleitung personalisieren
Trage Graylog-Passwort und Server-URL ein, damit die Beispiele direkt zu deinem Setup passen.
Graylog ist eine Open-Source-Log-Management-Plattform, die es dir ermöglicht, grosse Mengen an Log-Daten zu sammeln, zu analysieren und zu visualisieren. In dieser Anleitung erfährst du, wie du Graylog auf einem Ubuntu-Server installierst und konfigurierst.
Voraussetzungen
- Ubuntu 22.04 oder neuer
- Benutzer mit
sudo-Rechten - Java 8 oder höher installiert
- MongoDB und Elasticsearch installiert
1. System aktualisieren
Zuerst das System auf den neuesten Stand bringen:
sudo apt update && sudo apt upgrade -y
Dann das System neu starten:
sudo reboot
2. Java installieren
Graylog benötigt Java, um zu funktionieren. Installiere OpenJDK 8 oder eine neuere Version:
sudo apt install openjdk-11-jre-headless -y
Überprüfe die Installation:
java -version
3. MongoDB und Elasticsearch installieren
Graylog benötigt MongoDB und Elasticsearch als Backend-Datenbanken. Installiere MongoDB und Elasticsearch wie folgt:
MongoDB installieren
sudo apt install mongodb-server -y
Starte und aktiviere den MongoDB-Dienst:
sudo systemctl enable mongodb sudo systemctl start mongodb
Elasticsearch installieren
Füge das Elasticsearch-Repository hinzu:
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
Füge das Repository zu den Paketquellen hinzu:
sudo sh -c 'echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" > /etc/apt/sources.list.d/elastic-7.x.list'
Installiere Elasticsearch:
sudo apt update sudo apt install elasticsearch -y
Starte und aktiviere Elasticsearch:
sudo systemctl enable elasticsearch sudo systemctl start elasticsearch
4. Graylog installieren
Füge das Graylog-Repository zu deinem System hinzu:
wget https://packages.graylog2.org/repo/packages/graylog-4.0-repository.deb sudo dpkg -i graylog-4.0-repository.deb
Aktualisiere die Paketliste:
sudo apt update
Installiere Graylog:
sudo apt install graylog-server -y
5. Graylog konfigurieren
Die Konfiguration von Graylog befindet sich in der Datei /etc/graylog/server/server.conf. Bearbeite diese Datei, um den password_secret und root_password_sha2 zu setzen:
sudo nano /etc/graylog/server/server.conf
Setze password_secret auf einen zufälligen Wert:
password_secret = <zufälligerwert>
Setze root_password_sha2 auf den SHA-256-Hash des Passworts, das du für den Admin-Account verwenden möchtest. Du kannst das Passwort mit folgendem Befehl generieren:
echo -n "dein_passwort" | sha256sum
Kopiere den Hashwert und füge ihn in die Konfigurationsdatei ein.
6. Graylog starten
Aktiviere und starte den Graylog-Dienst:
sudo systemctl enable graylog-server sudo systemctl start graylog-server
Überprüfe den Status von Graylog:
sudo systemctl status graylog-server
7. Graylog Web Interface aufrufen
Graylog läuft standardmässig auf Port 9000. Öffne einen Webbrowser und gehe zu:
http://<Server-IP>:9000
Melde dich mit dem Admin-Benutzernamen und dem Passwort an, das du in der Konfigurationsdatei festgelegt hast.
Fazit
Graylog bietet eine leistungsstarke und skalierbare Lösung für das zentrale Log-Management. Mit dieser Anleitung kannst du Graylog auf Ubuntu installieren und es für das Sammeln, Analysieren und Visualisieren von Log-Daten einrichten. Graylog ermöglicht es dir, in Echtzeit auf wichtige Ereignisse zu reagieren und deine Infrastruktur effizient zu überwachen.