• 0 342 317 19 51 - 0 342 317 19 52

Centos 8 üzerinde Graylog kurulumu.05.02.2020

yum check-update
yum update -y kernel
yum update
reboot

sudo yum install java-1.8.0-openjdk
yum install epel-release
sudo yum install pwgen
sudo yum install vim
sudo yum install nano

-----------------------------------------------------------------------------------
nano /etc/yum.repos.d/mongodb-org.repo  içine şu alt satırları ekle.Kaydet çık.

[mongodb-org-4.0]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/4.0/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-4.0.asc

Mongo DB kuralım.
yum install mongodb-org

Mongo DB kalıcı başlatma
systemctl start mongod
systemctl enable mongod
systemctl status mongod
-----------------------------------------------------------------------------------

rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
nano /etc/yum.repos.d/elasticsearch.repo içine şu alt satırları ekle.Kaydet çık.

[elasticsearch-6.x]
name=Elasticsearch repository for 6.x packages
baseurl=https://artifacts.elastic.co/packages/oss-6.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

elasticsearch kuralım.
yum install elasticsearch-oss

nano /etc/elasticsearch/elasticsearch.yml  şunları değiştir ve ekle
cluster.name: graylogGAUN  
action.auto_create_index: .watches,.triggered_watches,.watcher-history-*   bunu en alta ekle.

nano /etc/elasticsearch/jvm.options   ram miktarlarını ayarlamalısın aşağıdaki gibi.
-Xms1g verilecek minimum ram miktarını sunucu ram miktarına göre ayarlanmalıdır.
-Xmx1g verilecek maksimum ram miktarını sunucu ram miktarına göre ayarlanmalıdır.
(verilecek minimum ve maksimum ram arasındaki fark olmaması tercih ediliyor.)

-Xms4g
-Xmx4g    gibi olabilir.
-----------------------------------------------------------------------------------
getenforce -> permissive

nano /etc/sysconfig/selinux kalıcı kapatmak için bunu yap
 
#SELINUX=enforcing
SELINUX=disabled
-----------------------------------------------------------------------------------
Graylogu kuralım
rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-3.1-repository_latest.rpm
yum list graylog-server
yum clean all

-----------------------------------------------------------------------------------
nano /etc/graylog/server/server.conf ta şunları yap.
#http_bind_address = 127.0.0.1:9000
http_bind_address = 0.0.0.0:9000

data_dir = /var/lib/graylog-server

pwgen -N 1 -s 96   ile komut satırında şifre üret server.conf a aşağıdaki gibi password_secret karşısına yaz.
password_secret = IoNtTzMDDcxPR1jnwGvGNYamlNHuHK09sgLr7Xn3cxV9taUssCDExg2BLVHO0ez6uakLsL0mNvkD7yjVRYUh3Zv3WKHIe9Lr

#root_timezone = UTC
root_timezone = Europe/Istanbul

root_username = admin   # i kaldır ve aktif et. Farklı kullanıcı da verebilirsin.

Şu komutla şifre üret oluşan şifreyi root_password_sha2 karşısına yaz server.conf dosyasinda
echo -n "Enter Password: " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1
Enter Password: okyanus1
7036117834bb123fe6f13b6a1444c40c2827a5697f4504e60407006941b622db


root_password_sha2 = 7036117834bb123fe6f13b6a1444c40c2827a5697f4504e60407006941b622db

Elasticsearh u kalıcı başlatma durumunu görme adımları
systemctl daemon-reload
systemctl enable elasticsearch.service
systemctl restart elasticsearch.service
systemctl status elasticsearch.service
-----------------------------------------------------------------------------------
 Şimdi firewall da gerekli olan port izinleri kalıcı şekilde verip reload edelim.
  firewall-cmd --permanent --add-port=9000/tcp
  firewall-cmd --reload
  firewall-cmd --list-all

public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens18
  sources:
  services: cockpit dhcpv6-client ssh
  ports: 9000/tcp
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

-----------------------------------------------------------------------------------
graylog u kalıcı başlatma adımları
systemctl daemon-reload
systemctl enable graylog-server.service
systemctl start graylog-server.service
-----------------------------------------------------------------------------------
 firewall-cmd --permanent --add-port=1514/udp
 firewall-cmd --reload
-----------------------------------------------------------------------------------
/etc/rsyslog.conf ta  şu alt satırı ekle sysloga gelen her şeyi verdiğin ip ve porta gönderecek. 

*.*                                                      @192.168.56.111:1514

@    UDP   için kullanılır.
@@   TCP   için kullanılır.

-----------------------------------------------------------------------------------
System/Inputs a sonra da Launch new Input tıkla.Açılacak pencerede şunları ver.
Node seç. Title ver. bind address 0.0.0.0  ver. Port 1514 yaz save et. Artık logları izleyebilirsin.  

http://192.168.56.111:9000/  ile kullanabilirsin. Ayar dosyasında verdiğin kullanıcı ve şifre ile gir.