1. Graylog là gì?
Graylog là một nền tảng quản lý log mã nguồn mở, cho phép người dùng thu thập, phân tích và trực quan hóa dữ liệu log từ nhiều nguồn khác nhau. Nó cung cấp một giao diện người dùng dễ sử dụng và hỗ trợ các tính năng mạnh mẽ như tìm kiếm log, phân tích dữ liệu và tạo cảnh báo.
2. Lợi ích của Graylog
- Quản lý log hiệu quả: Thu thập và quản lý log từ nhiều nguồn khác nhau, giúp theo dõi và phân tích toàn diện.
- Tìm kiếm mạnh mẽ: Hỗ trợ tìm kiếm nhanh chóng và hiệu quả trong khối lượng log lớn.
- Trực quan hóa dữ liệu: Cung cấp các biểu đồ và báo cáo để trực quan hóa dữ liệu log.
- Cảnh báo tùy chỉnh: Cho phép thiết lập cảnh báo dựa trên các điều kiện log cụ thể.
3. Cấu Hình Khi Cài Đặt Graylog
Cấu hình phần cứng phụ thuộc vào số lượng máy chủ và thời gian lưu trữ log.
3.1 Cấu hình yêu cầu
✅ OS : Ubuntu 22.04
✅ Tối thiểu: 4 vCPU, 8GB RAM, 100GB SSD
✅ Khuyến nghị: 8 vCPU, 16GB RAM, 320GB SSD
✅ Mở port 9000, 9200, 27017, 514 (syslog)
✅ Mạng 1Gbps, băng thông
4. Cấu hình MongoDB
4.1 Bắt đầu thêm khóa bảo mật của MongoDB.
curl -fsSL https://pgp.mongodb.com/server-6.0.asc | sudo gpg --dearmor -o /etc/apt/trusted.gpg.d/mongodb-server-6.0.gpg 4.2 Tiếp theo, thêm repository của MongoDB.
echo "deb [ arch=amd64,arm64 signed=/etc/apt/trusted.gpg.d/keyrings/mongodb-server-6.0.gpg ] https://repo.mongodb.org/apt/ubuntu jammy/mongodb-org/6.0 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-6.0.list 4.3 Cập nhật cache APT.
sudo apt update 4.4 Cài đặt MongoDB.
sudo apt install mongodb-org -y 4.5 Kiểm tra phiên bản MongoDB.
mongod --version 
4.6 Bắt đầu dịch vụ MongoDB.
sudo systemctl start mongod 4.7 Kiểm tra trạng thái dịch vụ MongoDB.
sudo systemctl status mongod 
4.8 Bật tự động khởi động dịch vụ MongoDB.
sudo systemctl enable mongod 5. Cấu hình OpenSearch
5.1 Thêm khóa bảo mật của OpenSearch.
curl -o- https://artifacts.opensearch.org/publickeys/opensearch.pgp | sudo gpg --dearmor --batch --yes -o /usr/share/keyrings/opensearch-keyring 5.2 Tạo repository APT cho OpenSearch.
echo "deb [signed-by=/usr/share/keyrings/opensearch-keyring] https://artifacts.opensearch.org/releases/bundle/opensearch/2.x/apt stable main" | sudo tee /etc/apt/sources.list.d/opensearch-2.x.list 5.3 Cập nhật cache APT.
sudo apt-get update 5.4 Liệt kê tất cả các phiên bản OpenSearch có sẵn.
sudo apt list -a opensearch5.5 Cài đặt OpenSearch.
sudo OPENSEARCH_INITIAL_ADMIN_PASSWORD=$(tr -dc A-Z-a-z-0-9_@#%^-_=+ < /dev/urandom | head -c${1:-32}) apt-get install opensearch 5.6 Cài đặt một phiên bản cụ thể của OpenSearch.
sudo OPENSEARCH_INITIAL_ADMIN_PASSWORD=$(tr -dc A-Z-a-z-0-9_@#%^-_=+ < /dev/urandom | head -c${1:-32}) apt-get install opensearch=2.12.05.7 Mở tập tin cấu hình OpenSearch.
sudo nano /etc/opensearch/opensearch.yml 5.8 Cập nhật các trường cần thiết cho trạng thái chạy tối thiểu.
cluster.name: graylog
node.name: ${HOSTNAME}
path.data: /var/lib/opensearch
path.logs: /var/log/opensearch
discovery.type: single-node
network.host: 0.0.0.0
action.auto_create_index: false
plugins.security.disabled: true
indices.query.bool.max_clause_count: 32768 5.9 Kích hoạt tùy chọn JVM.
sudo nano /etc/opensearch/jvm.options 5.10 Cập nhật cài đặt Xms & Xmx với một nửa bộ nhớ hệ thống đã cài đặt.
-Xms8g
-Xmx8g 5.11 Cấu hình các tham số kernel tại runtime.
sudo sysctl -w vm.max_map_count=262144
echo 'vm.max_map_count=262144' | sudo tee -a /etc/sysctl.conf 5.12 Kích hoạt dịch vụ hệ thống.
sudo systemctl daemon-reload
sudo systemctl enable opensearch.service
sudo systemctl start opensearch.service
sudo systemctl status opensearch.service 6. Cấu hình Graylog
6.1 Cài đặt cấu hình repository Graylog.
wget https://packages.graylog2.org/repo/packages/graylog-5.2-repository_latest.deb
sudo dpkg -i graylog-5.2-repository_latest.deb
sudo apt-get update && sudo apt-get install graylog-server 6.2 Nếu bạn đang cài đặt Graylog Operations, sử dụng các lệnh sau:
wget https://packages.graylog2.org/repo/packages/graylog-5.2-repository_latest.deb
sudo dpkg -i graylog-5.2-repository_latest.deb
sudo apt-get update && sudo apt-get install graylog-enterprise 6.3 Mở tệp cấu hình Graylog.
sudo nano /etc/graylog/server/server.conf Cảnh báo: Thêm các giá trị password_secret và root_password_sha2 vào tệp cấu hình là bắt buộc; Graylog sẽ không khởi động nếu thiếu chúng.
6.4 Tạo giá trị password_secret.
head -c 96 /dev/urandom | tr -dc A-Z-a-z-0-9 | head -c 96; echo6.5 Tạo giá trị root_password_sha2.
echo -n "Nhanhoa@graylog" | sha256sum | cut -d" " -f1 6.6 Thiết lập http_bind_address trong tệp cấu hình.
sudo sed -i 's/#http_bind_address = 127.0.0.1.*/http_bind_address = 0.0.0.0:9000/g' /etc/graylog/server/server.conf ⚠️Cảnh báo: Nếu cài đặt này không được điều chỉnh trước khi khởi động, bạn sẽ không thể đăng nhập vào Graylog bằng mật khẩu root đã cấu hình trước đó!
6.7 Kích hoạt Graylog trong quá trình khởi động của hệ điều hành.
sudo systemctl daemon-reload sudo systemctl enable graylog-server.service sudo systemctl start graylog-server.service sudo systemctl --type=service --state=active | grep graylogsudo
6.8 Khóa các gói để ngừng cập nhật tự động
sudo apt-mark hold mongodb-org
sudo apt-mark hold opensearch
sudo apt-mark hold graylog-server 6.9 Truy cập vào Graylog theo link http://[IP]:9000.
6.10 Dùng câu lệnh sau để lấy tài khoản mật khẩu truy cập lần đầu. Các lần sau login với mật khẩu “Nhanhoa@graylog"
tail -f /var/log/graylog-server/server.log 
⚠️Chú ý: Nếu không truy cập được hãy kiểm tra firewall trên Ubuntu và mở các port sau:
sudo ufw allow 9000/tcp # Graylog Web Interface
sudo ufw allow 9200/tcp # OpenSearch API
sudo ufw allow 27017/tcp # MongoDB
sudo ufw allow 1514/tcp # Syslog TCP
sudo ufw allow 1514/udp # Syslog UDP
sudo ufw allow 12201/tcp # GELF TCP
sudo ufw allow 12201/udp # GELF UDP
sudo ufw allow 514/tcp # Syslog TCP (Nếu cần)
sudo ufw allow 514/udp # Syslog UDP (Nếu cần)
sudo ufw allow 22/tcp # SSH (Để tránh mất kết nối) 6.11 Chọn resume startup để bỏ qua thiết lập chứng chỉ và login vào giao diện quản trị
👉Phần 4 của tài liệu này sẽ hướng dẫn cài đặt HAProxy để cân bằng tải cho Graylog. Xem chi tiết ở đây.
Leave a Reply