MR2オーナー吉田貴幸のブログ

MR2(SW20)オーナー吉田貴幸のブログ。仕事はITインフラエンジニア。愛車の記事とIT関連の情報を発信しています

【Graylog】オープンソース版ログ管理ソフトウェア「Graylog」でSyslogを受信するまで【VMware版】

f:id:takayuki-yoshida:20200224192001p:plain

ジョンソン宇宙センター(コールサイン「ヒューストン」)の管制センターの写真が使われている特徴的なログイン画面

 

はじめに 

GRAYLOG OPEN SOURCEは、OSS(オープンソース)版のログ管理ソフトウェアで、ログの集中管理(ログの収集、検索、分析、監視)が出来るようになります。有償版の「Enterprise」もあります。

この記事では、OVA形式で提供される仮想アプライアンス版「Graylog」サーバーをVMWareで構築し、Syslogのログを受信するまでの手順を紹介します。

 

ここで紹介する手順は、以下のバージョンで作成しています。

f:id:takayuki-yoshida:20200224195540p:plain

 


 

仮想アプライアンスイメージのダウンロード

・こちらのリンクからGraylogのovaファイルをダウンロードします。

 

packages.graylog2.org

2020/2/24現在では、こちらが最新です。

Name: graylog-3.2.2-1.ova

Size: 1,285,595,648

Modified: 2020-02-20T19:24:24.000Z

 

VMware ESXi 仮想マシンの作成

・VMware ESXiで仮想マシンの作成をクリックします

・作成タイプの選択は「OVFファイルまたはOVAファイルからの仮想マシンをデプロイ」を選択し、次へをクリック

f:id:takayuki-yoshida:20200224200154p:plain

・仮想マシンの名前を入植し、ダウンロードしたOVAファイルを選択します。

f:id:takayuki-yoshida:20200224201355p:plain

・データストアを選択して「次へ」をクリックします

f:id:takayuki-yoshida:20200224201609p:plain

・デプロイのオプションはそのまま変更せず「次へ」をクリックします

f:id:takayuki-yoshida:20200224201702p:plain

・設定の確認は「完了」をクリックします

f:id:takayuki-yoshida:20200224201805p:plain

OVAファイルがアップロードされ、仮想マシンが作成されるまでお待ちください。

 

仮想マシンにコンソールで接続します。起動するとWebログインアドレスとGraylogの管理者(admin)のパスワード、OSのユーザー・パスワードが表示されます

f:id:takayuki-yoshida:20200224202113p:plain

 

固定IPアドレスの設定

・起動した仮想マシン(Graylogサーバー)へSSH接続します。

 接続するユーザー ubuntu パスワード ubuntu です。

 

・OSバージョンを確認します

ubuntu@graylog:~$ cat /etc/os-release
NAME="Ubuntu"
VERSION="18.04.4 LTS (Bionic Beaver)"
ID=ubuntu
ID_LIKE=debian
PRETTY_NAME="Ubuntu 18.04.4 LTS"
VERSION_ID="18.04"
HOME_URL="https://www.ubuntu.com/"
SUPPORT_URL="https://help.ubuntu.com/"
BUG_REPORT_URL="https://bugs.launchpad.net/ubuntu/"
PRIVACY_POLICY_URL="https://www.ubuntu.com/legal/terms-and-policies/privacy-policy"
VERSION_CODENAME=bionic
UBUNTU_CODENAME=bionic

 ubuntuバージョン18.04.4 LTSが使用されていましたので、17.10以降の固定IP設定方法で設定を行います

 

・「ip address」コマンドを入力し、現在のIPアドレス(DHCP)とインターフェース名を確認します。

 ※「ens160」が使用されています。

ubuntu@graylog:~$ ip address
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: ens160: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
link/ether 00:0c:29:7a:c5:75 brd ff:ff:ff:ff:ff:ff
inet 10.0.0.111/24 brd 10.0.0.255 scope global dynamic ens160
valid_lft 259122sec preferred_lft 259122sec
inet6 fe80::20c:29ff:fe7a:c575/64 scope link
valid_lft forever preferred_lft forever

 

 ・「cd etc/netplan/」コマンドを入力し「ls」コマンドでファイルを表示します

 ※ネットワーク設定は「01-netcfg.yaml」ファイルを変更します。

ubuntu@graylog:~$ cd /etc/netplan/
ubuntu@graylog:/etc/netplan$ ls
01-netcfg.yaml

 

 ・「sudo vi 01-netcfg.yaml」コマンドを入力し、設定ファイルを編集します。

 下記IPアドレスの設定例です

  IPアドレス:10.0.0.6/24

  ゲートウェイ:10.0.0.1

  DNS:192.168.1.1,8.8.8.8,8.8.4.4

ubuntu@graylog:/etc/netplan$ sudo vi 01-netcfg.yaml
network:
version: 2
renderer: networkd
ethernets:
enp0s3:
dhcp4: yes
ens160:
dhcp4: no
dhcp6: no
addresses: [10.0.0.6/24]
gateway4: 10.0.0.1
nameservers:
addresses: [192.168.1.1, 8.8.8.8, 8.8.4.4]

 

・「sudo netplan apply」コマンドを実行して設定を反映します

ubuntu@graylog:/etc/netplan$ sudo netplan apply

 

・「ip address」コマンドを入力し、IPアドレスが反映されている確認します

 

Adminアカウントのデフォルトパスワード変更

Adminアカウントのパスワードはコマンドから変更が必要です。

以下の手順で変更します。

 

・シークレットキー発行を行う為「pwgen -N 1 -s 96」コマンドを実行します。

 ※表示されるシークレットキーは後ほど使用しますので、メモ帳などに貼り付けておきます

ubuntu@graylog:/$ pwgen -N 1 -s 96

 

・Adminのハッシュパスワードを生成する為「echo -n (yourpassword) | shasum -a 256」コマンドを実行します。

 ※(yourpassword)は、Adminアカウントに設定するパスワードを入力してください

 ※表示されたパスワードは後ほど使用しますので、メモ帳などに貼り付けておきます

ubuntu@graylog:/$ echo -n (yourpassword) | shasum -a 256

 

・「vi  /etc/graylog/server/server.conf」コマンドを実行し、下記の内容へ変更します

 「password_secret = 」列に先ほど表示されたシークレットキーへ変更

 「root_password_sha2 =」列に先ほど表示されたAdminのハッシュパスワードへ変更

ubuntu@graylog:/$ pwgen -N 1 -s 96
password_secret = 先ほど表示されたシークレットキー
...
root_password_sha2 = 先ほど表示されたAdminのハッシュパスワード
...

 

 ・graylog-serverサービスを再起動する為「sudo /etc/init.d/graylog-server restart」を実行します。

ubuntu@graylog:/$ sudo /etc/init.d/graylog-server restart

 

Syslog用ポート転送設定

Graylogでは1024以下のポートを使用したINPUT(受信)設定が行えません。そのため、Syslog用ポート514を1514ポートへリダイレクトする設定を行います

・以下のコマンドを実行します

$ sudo iptables -t nat -A PREROUTING -p tcp --dport 514 -j REDIRECT --to 1514
$ sudo iptables -t nat -A PREROUTING -p tcp --dport 514 -j REDIRECT --to 1514

(参考リンク)

docs.graylog.org

 

Graylog Syslog受信設定(INPUT)

・ブラウザで「http://Graylogサーバーの固定IPアドレス」を表示します。

・Usernameに「admin」、Passwordに「設定したAdminのパスワード」を入力して「Sign In」をクリックします。

f:id:takayuki-yoshida:20200224192001p:plain

 

・「System」メニュー「Inputs」をクリックします

f:id:takayuki-yoshida:20200224211159p:plain

 

・Select Inputから「Syslog UDP」を選択し「Launch New Input」をクリックします

f:id:takayuki-yoshida:20200224211351p:plain

 

・「Title」に適当な名前(ノード名や種類など)を入力して、Port「1514」を入力して、一番下の「Save」をクリックします

f:id:takayuki-yoshida:20200224211524p:plain

・「RUNNING」になれば、受信待機状態となります。

あとは、Syslogを送信するノード側でSyslog送信設定を行えば、ログの受信が開始されます。

f:id:takayuki-yoshida:20200224211824p:plain

 

ユーザーの作成

ログ閲覧用ユーザーを作成します。Adminユーザーでは、タイムゾーンがUTCから変更することが出来ず、ユーザーを作成することでタイムゾーンの変更が可能になります。

 

・「System」メニュー-「Authentication」をクリックします

f:id:takayuki-yoshida:20200224212353p:plain

 

・「Add new user」をクリックします

f:id:takayuki-yoshida:20200224212503p:plain

 

・下記の必須項目を入力し「Create User」をクリックします。

Username: ログインユーザー名を入力

Full Name: 名前を入力

Email Address: メールアドレスを入力

Password: ログインパスワードを入力

Time Zone: Tokyo を選択

f:id:takayuki-yoshida:20200224212659p:plain

・作成したユーザーでGraylogへログインしてください。

・「Search」で受信したログの検索ができます

f:id:takayuki-yoshida:20200224213010p:plain

 

今回はここまで。