CentOS 7下安装部署Graylog3.0收集分析网络设备日志

Graylog是一款优秀的日志收集分析软件，区别于ELK，它更加简洁，高效，部署使用更加简单。官方网址https://www.graylog.org/,安装手册参考

一、安装部署

graylog采用单机部署，,采用最小化部署，架构如下

组件介绍 ：

Graylog 提供 graylog 对外接口 ，Web界面， CPU 

Elasticsearch 日志文件的持久化存储和检索， IO 

MongoDB 只是存储一些 Graylog 的配置

安装前准备，采用虚拟机，操作系统CentOS7 ,内存4G，硬盘100G，安装之前需要关闭selinux,清空iptables规则和关闭防火墙

setenforce 0 sed -i "s/SELINUX=enforcing/SELINUX=disabled/g" /etc/selinux/config iptables -F service iptables save systemctl disabled firewalld systemctl stop firewalld

1.1先决条件

以最小的服务器设置为基础将需要这些额外的包：

yum install java-1.8.0-openjdk-headless.x86_64 #安装java软件包 yum install epel-release #安装epel软件仓库 yum install pwgen #安装pwgen生成密

1.2 安装mongodb

首先创建软件仓库文件/etc/yum.repos.d/mongodb-org.repo使用以下内容添加存储库文件

touch /etc/yum.repos.d/mongodb-org.repo cat << EOF >/etc/yum.repos.d/mongodb-org.repo [mongodb-org-4.0] name=MongoDB Repository baseurl=https://repo.mongodb.org/yum/RedHat/$releasever/mongodb-org/4.0/x86_64/ gpgcheck=1 enabled=1 gpgkey=https://www.mongodb.org/static/pgp/server-4.0.asc EOF

配置完成后，可以通过yum安装最新版本的MongoDB   

yum install mongodb-org

然后配置MongoDB作为服务开机启动

chkconfig --add mongod systemctl daemon-reload sudo systemctl enable mongod.service systemctl start mongod.service

1.3安装Elasticsearch

首先安装Elastic GPG密钥，然后添加包含以下内容的存储库文件中,graylog3.0采用的是elasticsearch6.x版本

rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch touch /etc/yum.repos.d/elasticsearch.repo cat << EOF >/etc/yum.repos.d/elasticsearch.repo [elasticsearch-6.x] name=Elasticsearch repository for 6.x packages baseurl=https://artifacts.elastic.co/packages/oss-6.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md EOF

随后安装最新版本。

yum install elasticsearch-oss

修改elasticsearch的配置文件，/etc/elasticsearch/elasticsearch.yml，将cluster.name修改为graylog，然后在配置文件中最后一样添加action.auto_create_index: false

vim /etc/elasticsearch/elasticsearch.yml

在16后行修改cluster.name

最后一行添加action.auto_create_index: false

修改配置后，可以启动Elasticsearch：

chkconfig --add elasticsearch systemctl daemon-reload systemctl enable elasticsearch.service systemctl restart elasticsearch.service

1.4安装graylog

现在使用以下命令安装Graylog存储库配置和Graylog本身：

rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-3.0-repository_latest.rpm yum install graylog-server

安装完成后，首先生成生成password_secret密码

pwgen -N 1 -s 96

生成root_password_sha2密码 （Web登录密码）

echo -n "Enter Password: " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1

然后将生成的password_secret密码和root_password_sha2密码字符串，添加到配置文件/etc/graylog/server/server.conf中，分别在55行和66行

然后修改web登陆接口，在104行，按照如下配置，默认端口9000,可以修改

完成修改后保存，然后启动graylog

chkconfig --add graylog-server systemctl daemon-reload systemctl enable graylog-server.service systemctl start graylog-server.service

 然后可以使用浏览器登陆 :9000

 

默认管理员用户名admin，密码为root_password_sha2配置设定的密码

目前graylog没有中文版

 

二、初始配置以及收集网络设备日志

完成配置登陆后，依照初始向导可以了解初始配置工作

2.1 添加udp协议为收集网络设备日志