Graylog est un outil de surveillance des logs puissant et polyvalent qui offre une analyse en temps réel de grandes quantités de données machine. Il permet aux utilisateurs de capturer, stocker et analyser efficacement les logs, fournissant des informations exploitables et facilitant la prise de décision rapide. Dans ce tutoriel étape par étape, nous vous guiderons à travers le processus d’installation de Graylog sur votre serveur Ubuntu 22.04. À la fin de ce guide, vous aurez une configuration Graylog entièrement fonctionnelle prête à vous aider à surveiller, rechercher et analyser les données sans effort.

Mise à jour du système

La première étape consiste à mettre à jour les paquets du système à leurs dernières versions. Ouvrez votre terminal et exécutez les commandes suivantes :

apt update -y
apt upgrade -y

Cela garantira que votre système est à jour et prêt pour le processus d’installation. Une fois les mises à jour terminées, nous pouvons passer à l’installation des dépendances.

Installation des dépendances

Graylog nécessite l’installation de plusieurs dépendances sur votre serveur. Exécutez la commande suivante pour installer tous les paquets nécessaires :

apt install apt-transport-https gnupg2 uuid-runtime pwgen curl dirmngr -y

Cette commande installera les dépendances requises et préparera votre système pour l’installation de Graylog.

Installation de Java JDK

Graylog repose sur Java, nous devons donc l’installer sur notre serveur. Si Java n’est pas déjà installé, exécutez la commande suivante pour installer OpenJDK 11 :

apt install openjdk-11-jre-headless -y

Une fois l’installation terminée, vérifiez que Java est installé en exécutant la commande suivante :

java -version

Vous devriez voir les informations de version de Java s’afficher sur votre terminal.

Installation et configuration d’Elasticsearch

Elasticsearch est utilisé par Graylog pour stocker les logs provenant de sources externes. Nous devons installer Elasticsearch et le configurer pour travailler avec Graylog. Commençons par ajouter le dépôt Elasticsearch à notre système. Exécutez les commandes suivantes :

wget -qO- https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add-
echo "deb https://artifacts.elastic.co/packages/oss-7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
apt update -y
apt install elasticsearch-oss -y

Après l’installation, nous devons modifier le fichier de configuration d’Elasticsearch. Ouvrez le fichier avec votre éditeur de texte préféré :

nano /etc/elasticsearch/elasticsearch.yml

Dans le fichier de configuration, trouvez la ligne qui commence par cluster.name et définissez le nom du cluster à “graylog”. De plus, ajoutez une autre ligne pour action.auto_create_index et réglez-le sur “false”. Sauvegardez et fermez le fichier.

Ensuite, démarrez le service Elasticsearch et activez-le pour qu’il démarre automatiquement au démarrage du système :

systemctl daemon-reload
systemctl start elasticsearch
systemctl enable elasticsearch

Vérifiez l’état du service Elasticsearch en utilisant la commande suivante :

systemctl status elasticsearch

Assurez-vous que le service est actif et fonctionne sans erreurs.

Installation du serveur MongoDB

Graylog utilise MongoDB comme base de données. Nous devons installer MongoDB sur notre serveur et le configurer pour travailler avec Graylog. Exécutez les commandes suivantes pour ajouter le dépôt MongoDB et installer le paquet MongoDB :

wget -qO- https://www.mongodb.org/static/pgp/server-4.4.asc | apt-key add-
echo "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/ubuntu focal/mongodb-org/4.4 multiverse" | tee /etc/apt/sources.list.d/mongodb-org-4.4.list
apt update -y
apt install -y mongodb-org

Une fois l’installation terminée, démarrez le service MongoDB et activez-le pour qu’il démarre automatiquement au démarrage du système :

systemctl enable --now mongod

Vérifiez l’état du service MongoDB pour s’assurer qu’il fonctionne sans problèmes :

systemctl status mongod

Vous devriez voir que le service est actif et fonctionne.

Installation et configuration de Graylog

Pour installer Graylog, nous devons ajouter le dépôt Graylog à notre serveur. Exécutez la commande suivante pour télécharger le paquet du dépôt Graylog :

wget https://packages.graylog2.org/repo/packages/graylog-4.3-repository_latest.deb

Une fois le téléchargement terminé, installez le paquet du dépôt en utilisant la commande suivante :

dpkg -i graylog-4.3-repository_latest.deb

Mettez à jour le dépôt et installez le serveur Graylog :

apt update -y
apt install graylog-server -y

Après l’installation, nous devons générer un secret pour sécuriser les mots de passe des utilisateurs. Exécutez la commande suivante pour générer le secret :

pwgen -N 1 -s 96

Notez le secret généré car nous en aurons besoin plus tard.

Maintenant, générons un mot de passe sécurisé pour l’utilisateur admin de Graylog. Exécutez la commande suivante et entrez un mot de passe fort lorsque vous y êtes invité :

echo -n "Enter Password: " && head -1

Assurez-vous de mémoriser ou de stocker ce mot de passe en toute sécurité.

Ensuite, nous devons modifier le fichier de configuration de Graylog pour définir le secret et le mot de passe admin. Ouvrez le fichier de configuration :

nano /etc/graylog/server/server.conf

Dans le fichier, trouvez la ligne qui commence par password_secret et remplacez la valeur existante par le secret généré plus tôt. De même, trouvez la ligne qui commence par root_password_sha2 et remplacez la valeur existante par le mot de passe admin que vous avez généré. Sauvegardez et fermez le fichier.

De plus, nous devons définir l’adresse de liaison du serveur. Trouvez la ligne qui commence par http_bind_address et réglez-la sur 127.0.0.1:9000. Cela garantit que Graylog écoute uniquement sur localhost.

Démarrez le service Graylog et activez-le pour qu’il démarre automatiquement au démarrage du système :

systemctl daemon-reload
systemctl start graylog-server
systemctl enable graylog-server

Vérifiez l’état du serveur Graylog en utilisant la commande suivante :

systemctl status graylog-server

Assurez-vous que le service est actif et fonctionne sans erreurs.

Configuration de Nginx en tant que proxy inverse pour Graylog

Pour accéder à l’interface web de Graylog de manière sécurisée, nous pouvons configurer Nginx en tant que proxy inverse. Cela nous permettra d’accéder à Graylog via le port HTTP standard (80). Commençons par installer Nginx :

apt install nginx -y

Une fois l’installation terminée, nous devons créer un fichier de configuration Nginx pour Graylog. Créez un nouveau fichier avec votre éditeur de texte préféré :

nano /etc/nginx/sites-available/graylog.conf

Dans le fichier, ajoutez la configuration suivante :

server {
listen 80;
server_name graylog.example.org;

location / {
proxy_set_header Host $http_host;
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-Server $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Graylog-Server-URL http://$server_name/;
proxy_pass http://localhost:9000;
}
}

Assurez-vous de remplacer graylog.example.org par votre véritable nom de domaine ou adresse IP. Sauvegardez et fermez le fichier.

Ensuite, vérifions la configuration Nginx pour d’éventuelles erreurs de syntaxe :

nginx -t

S’il n’y a pas d’erreurs, activez la configuration de l’hôte virtuel Graylog en créant un lien symbolique :

ln -s /etc/nginx/sites-available/graylog.conf /etc/nginx/sites-enabled/

Supprimez la configuration de l’hôte virtuel par défaut de Nginx :

rm -rf /etc/nginx/sites-enabled/default

Enfin, redémarrez le service Nginx pour appliquer les modifications :

systemctl restart nginx

Accès à l’interface web de Graylog

Maintenant que tout est configuré, vous pouvez accéder à l’interface web de Graylog. Ouvrez votre navigateur web et entrez l’URL http://graylog.example.org (remplacez par votre véritable nom de domaine ou adresse IP).

Vous serez redirigé vers la page de connexion de Graylog. Entrez le nom d’utilisateur et le mot de passe admin que vous avez définis plus tôt, et cliquez sur le bouton “Login”. Vous devriez maintenant voir le tableau de bord de Graylog, où vous pouvez commencer à explorer et analyser vos logs.

Félicitations pour avoir réussi à installer et configurer Graylog 4 sur votre serveur Ubuntu 22.04 ! Vous disposez maintenant d’un puissant outil de surveillance des logs à votre disposition, vous permettant de capturer, stocker et analyser efficacement les données de logs. Graylog, combiné à d’autres outils et bonnes pratiques, peut grandement améliorer votre capacité à surveiller et dépanner vos systèmes. Si vous avez des questions ou besoin d’aide supplémentaire, n’hésitez pas à nous contacter chez Shape.host. Nous sommes là pour vous aider avec tous vos besoins d’hébergement Linux SSD VPS.