GrayLog Nedir ve Kurulumu Nasıl Yapılır

Selamlar arkadaşlar bu makalemde sizlere GrayLog’dan bahsedeceğim. Sonrasında ise Ubuntu 20.04 üzerinde kurulum işlemlerini yapacağım.

GrayLog nedir?

Tüm loğlarımızı merkezi olarak bir noktada toplayan, anomalileri gözlemleyen, analiz yapmamıza olanak sağlayan ve dashboard sayesinde bunları yorumlamamızı sağlayan ve bu dashboard’ları özelleştirmemizi sağlayan açık kaynak kodlu bir loglama yazılımıdır. Graylog’un mimarisinde ise EleasticSearch ve Mongodb bulunmaktadır. Kurulumunu yaparken ise ön gereksinimlerin kurulumlarından başlayarak sırası ile yapacağız.

– Ubuntu Ayarları :

> sed -i “s/enforcing/disabled/g” /etc/selinux/config && systemctl disable firewalld && yum -y update && hostnamectl set-hostname graylog && reboot
//Komutu ile Selinux ve Firewall ayarlarını kapatıyorum. Güncelleme yapıldıktan sonra , makineme hostname belirleyerek cihazımı yeniden başlatıyorum.

– Kurulum adımları :

> sudo apt-get update && sudo apt-get upgrade
// İlk olarak sistemimizdeki update ve upgrade’leri aşağıdaki kod yardımı ile alıyoruz.

> sudo apt-get install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen
// Daha sonra aşağıdaki kod ile sistemimize java yüklüyoruz.

– MongoDB kurulumu :

> wget -qO – https://www.mongodb.org/static/pgp/server-5.0.asc | sudo apt-key add –

> echo “deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/ubuntu focal/mongodb-org/5.0 multiverse” | sudo tee /etc/apt/sources.list.d/mongodb-org-5.0.list

> sudo apt-get update
//Yukarıdaki kodlarımız sayesinde ubuntu Reposite’larını güncelliyoruz.

> sudo apt-get install -y mongodb-org
//Kodumuz ile ise MongoDB’mizi yüklüyoruz.

> sudo systemctl enable mongod.service

> sudo systemctl restart mongod.service
//Kodları ile MongoDB servisini başlatıyoruz.

> sudo systemctl status mongod.service
//Kodu ile durumunu kontrol ediyoruz.

Servisimiz doğru şekilde çalıştırıldığında Active: active (running) yazdığını yukarıdaki şekilde olduğu gibi görmeniz gerekmektedir.

– EleasticSearch Kurulumu :

> wget -qO – https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add –

> echo “deb https://artifacts.elastic.co/packages/7.x/apt stable main” | sudo tee /etc/apt/sources.list.d/elastic-7.x.list

> sudo apt-get update
//Yukarıdaki kodlarımız sayesinde ubuntu Reposite’larını güncelliyoruz.

> sudo apt-get install elasticsearch
//Kodumuz ile ise ElasticSearch’ümüzü yüklüyoruz.

/etc/elasticsearch/elasticsearch.yml yoluna giderek dosyamızı nano ile açıyoruz ve cluster.name kısmını bulup graylog yazıyoruz.

Daha sonra aynı dosyanın en altına inerek action.auto_create_index: false komutunu ekliyoruz.

> sudo systemctl daemon-reload

> sudo systemctl enable elasticsearch.service

> sudo systemctl restart elasticsearch.service
// Kodları ile ElasticSearch’u aktif edip çalıştırıyoruz.

> sudo systemctl status elasticsearch.service
//Kodu ile durumunu kontrol ediyoruz.

Servisimiz çalıştırıldığında Active: active (running) yazdığını yukarıdaki şekilde olduğu gibi görmeniz gerekmektedir.

– GrayLog kurulumu :

> wget https://packages.graylog2.org/repo/packages/graylog-4.2-repository_latest.deb

> sudo dpkg -i graylog-4.2-repository_latest.deb

> sudo apt-get update

> sudo apt-get install graylog-server graylog-enterprise-plugins graylog-integrations-plugins graylog-enterprise-integrations-plugins
Kodlarının sayesinde Repo güncellemesi ve Graylog yüklemesi yapmış olduk.

– Şimdi sıra geldi GrayLog Conf. Ayarlamalarına :

Parola ve Secret Key oluşturmak için pwgen programını kullanacağım.

> apt-get install pwgen
//Programımızı yüklüyoruz.

> pwgen –N 1 –s 63
//Kodu ile Secret key oluşturuyoruz. NOT almayı unutmayın.

> echo –n yourpassword | sha256sum
//Komutu ile admin kullanıcımızın şifresini oluşturuyoruz. Yourpassword yazan yere kendiniz belirleyerek bir parola yazabilirsiniz. Bu alanıda NOT almayı unutmayın.

Ayrıca aşağıdaki kodu kullanarakda yeni bir şifre için kod alabilirsiniz.

> echo -n “Enter Password: ” && head -1 </dev/stdin | tr -d ‘\n’ | sha256sum | cut -d” ” -f1

GrayLog Conf. Dosyasında değişiklik yapmak için /etc/graylog/server/server.conf yolundaki dosyamızı Nano ile açıyoruz.

Belirlemiş olduğumuz Passwordleri kopyalayarak Password_Secret ve Root_Password_Sha2 alanlarına giriyoruz. Root_TimeZone alanını ise Europe/Istanbul yapıyoruz. Root_Email adresimizide ayarlıyoruz.

Http_Bind_Address alanında Cihazımızın aldığı ip adresini vererek Web Portal erişiminin hangi ipden olacağını ayarlamış oluyoruz. Sonunda bulunan :9000 ise portal erişim portudur.

ElasticSearch node sayısı tek olduğundan dolayı ElasticSearch_Shards alanına 1 yazıyorum.

Önemli NOT : ElasticSearch kurulumunda ayarlarında herhangi bir değişiklik yaparsanız erişim doğru olması için burada da gerekli değişiklikleri yapmanız gerekmektedir. Default ayarlarda bıraktıysanız sorunsuz erişim sağlanacaktır.

> sudo systemctl daemon-reload

> sudo systemctl enable graylog-server.service

> sudo systemctl restart graylog-server.service
//Kodları yardımı ile GrayLog’u aktif ediyoruz ve çalıştırıyoruz.

> sudo systemctl –type=service –state=active | grep graylog
//Koduyardımı ile sistem açıldığında servisimizin çalışmasını sağlıyoruz.

> sudo systemctl status graylog-server.service
//Kodu yardımı ile de durumunu kontrol ediyoruz.

Servisimiz çalıştırıldığında Active: active (running) yazdığını yukarıdaki şekilde olduğu gibi görmeniz gerekmektedir.

> netstat –tuln
//Komutu ile servisimizin portlarını açılıp açılmadığını kontrol ediyoruz.

http://192.168.1.107:9000/ bağlantısından erişebildiğimi göreceksiniz. Kurulum işlemlerimiz tamamlanmıştır. Bu ekrana gelebilmek için tabi ki belirlediğim ve notlarını aldığım kullanıcı adı ve şifreler ile geldim. Default olarak kullanıcı admin’dir. Bunu GrayLog Conf. Dosyasında da bulabilirsiniz.

Yararlı olması dileğiyle kolaylıklar diliyorum.