ジョンソン宇宙センター(コールサイン「ヒューストン」)の管制センターの写真が使われている特徴的なログイン画面
- はじめに
- 仮想アプライアンスイメージのダウンロード
- VMware ESXi 仮想マシンの作成
- 固定IPアドレスの設定
- Adminアカウントのデフォルトパスワード変更
- Syslog用ポート転送設定
- Graylog Syslog受信設定(INPUT)
- ユーザーの作成
はじめに
GRAYLOG OPEN SOURCEは、OSS(オープンソース)版のログ管理ソフトウェアで、ログの集中管理(ログの収集、検索、分析、監視)が出来るようになります。有償版の「Enterprise」もあります。
この記事では、OVA形式で提供される仮想アプライアンス版「Graylog」サーバーをVMWareで構築し、Syslogのログを受信するまでの手順を紹介します。
ここで紹介する手順は、以下のバージョンで作成しています。
仮想アプライアンスイメージのダウンロード
・こちらのリンクからGraylogのovaファイルをダウンロードします。
2020/2/24現在では、こちらが最新です。
Name: graylog-3.2.2-1.ova
Size: 1,285,595,648
Modified: 2020-02-20T19:24:24.000Z
VMware ESXi 仮想マシンの作成
・VMware ESXiで仮想マシンの作成をクリックします
・作成タイプの選択は「OVFファイルまたはOVAファイルからの仮想マシンをデプロイ」を選択し、次へをクリック
・仮想マシンの名前を入植し、ダウンロードしたOVAファイルを選択します。
・データストアを選択して「次へ」をクリックします
・デプロイのオプションはそのまま変更せず「次へ」をクリックします
・設定の確認は「完了」をクリックします
OVAファイルがアップロードされ、仮想マシンが作成されるまでお待ちください。
仮想マシンにコンソールで接続します。起動するとWebログインアドレスとGraylogの管理者(admin)のパスワード、OSのユーザー・パスワードが表示されます
固定IPアドレスの設定
・起動した仮想マシン(Graylogサーバー)へSSH接続します。
接続するユーザー ubuntu パスワード ubuntu です。
・OSバージョンを確認します
ubuntu@graylog:~$ cat /etc/os-release
NAME="Ubuntu"
VERSION="18.04.4 LTS (Bionic Beaver)"
ID=ubuntu
ID_LIKE=debian
PRETTY_NAME="Ubuntu 18.04.4 LTS"
VERSION_ID="18.04"
HOME_URL="https://www.ubuntu.com/"
SUPPORT_URL="https://help.ubuntu.com/"
BUG_REPORT_URL="https://bugs.launchpad.net/ubuntu/"
PRIVACY_POLICY_URL="https://www.ubuntu.com/legal/terms-and-policies/privacy-policy"
VERSION_CODENAME=bionic
UBUNTU_CODENAME=bionic
ubuntuバージョン18.04.4 LTSが使用されていましたので、17.10以降の固定IP設定方法で設定を行います
・「ip address」コマンドを入力し、現在のIPアドレス(DHCP)とインターフェース名を確認します。
※「ens160」が使用されています。
ubuntu@graylog:~$ ip address
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: ens160: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
link/ether 00:0c:29:7a:c5:75 brd ff:ff:ff:ff:ff:ff
inet 10.0.0.111/24 brd 10.0.0.255 scope global dynamic ens160
valid_lft 259122sec preferred_lft 259122sec
inet6 fe80::20c:29ff:fe7a:c575/64 scope link
valid_lft forever preferred_lft forever
・「cd etc/netplan/」コマンドを入力し「ls」コマンドでファイルを表示します
※ネットワーク設定は「01-netcfg.yaml」ファイルを変更します。
ubuntu@graylog:~$ cd /etc/netplan/
ubuntu@graylog:/etc/netplan$ ls
01-netcfg.yaml
・「sudo vi 01-netcfg.yaml」コマンドを入力し、設定ファイルを編集します。
下記IPアドレスの設定例です
IPアドレス:10.0.0.6/24
ゲートウェイ:10.0.0.1
DNS:192.168.1.1,8.8.8.8,8.8.4.4
ubuntu@graylog:/etc/netplan$ sudo vi 01-netcfg.yaml
network:
version: 2
renderer: networkd
ethernets:
enp0s3:
dhcp4: yes
ens160:
dhcp4: no
dhcp6: no
addresses: [10.0.0.6/24]
gateway4: 10.0.0.1
nameservers:
addresses: [192.168.1.1, 8.8.8.8, 8.8.4.4]
・「sudo netplan apply」コマンドを実行して設定を反映します
ubuntu@graylog:/etc/netplan$ sudo netplan apply
・「ip address」コマンドを入力し、IPアドレスが反映されている確認します
Adminアカウントのデフォルトパスワード変更
Adminアカウントのパスワードはコマンドから変更が必要です。
以下の手順で変更します。
・シークレットキー発行を行う為「pwgen -N 1 -s 96」コマンドを実行します。
※表示されるシークレットキーは後ほど使用しますので、メモ帳などに貼り付けておきます
ubuntu@graylog:/$ pwgen -N 1 -s 96
・Adminのハッシュパスワードを生成する為「echo -n (yourpassword) | shasum -a 256」コマンドを実行します。
※(yourpassword)は、Adminアカウントに設定するパスワードを入力してください
※表示されたパスワードは後ほど使用しますので、メモ帳などに貼り付けておきます
ubuntu@graylog:/$ echo -n (yourpassword) | shasum -a 256
・「vi /etc/graylog/server/server.conf」コマンドを実行し、下記の内容へ変更します
「password_secret = 」列に先ほど表示されたシークレットキーへ変更
「root_password_sha2 =」列に先ほど表示されたAdminのハッシュパスワードへ変更
ubuntu@graylog:/$ pwgen -N 1 -s 96
password_secret = 先ほど表示されたシークレットキー
...
root_password_sha2 = 先ほど表示されたAdminのハッシュパスワード
...
・graylog-serverサービスを再起動する為「sudo /etc/init.d/graylog-server restart」を実行します。
ubuntu@graylog:/$ sudo /etc/init.d/graylog-server restart
Syslog用ポート転送設定
Graylogでは1024以下のポートを使用したINPUT(受信)設定が行えません。そのため、Syslog用ポート514を1514ポートへリダイレクトする設定を行います
・以下のコマンドを実行します
$ sudo iptables -t nat -A PREROUTING -p tcp --dport 514 -j REDIRECT --to 1514
$ sudo iptables -t nat -A PREROUTING -p tcp --dport 514 -j REDIRECT --to 1514
(参考リンク)
Graylog Syslog受信設定(INPUT)
・ブラウザで「http://Graylogサーバーの固定IPアドレス」を表示します。
・Usernameに「admin」、Passwordに「設定したAdminのパスワード」を入力して「Sign In」をクリックします。
・「System」メニュー「Inputs」をクリックします
・Select Inputから「Syslog UDP」を選択し「Launch New Input」をクリックします
・「Title」に適当な名前(ノード名や種類など)を入力して、Port「1514」を入力して、一番下の「Save」をクリックします
・「RUNNING」になれば、受信待機状態となります。
あとは、Syslogを送信するノード側でSyslog送信設定を行えば、ログの受信が開始されます。
ユーザーの作成
ログ閲覧用ユーザーを作成します。Adminユーザーでは、タイムゾーンがUTCから変更することが出来ず、ユーザーを作成することでタイムゾーンの変更が可能になります。
・「System」メニュー-「Authentication」をクリックします
・「Add new user」をクリックします
・下記の必須項目を入力し「Create User」をクリックします。
Username: ログインユーザー名を入力
Full Name: 名前を入力
Email Address: メールアドレスを入力
Password: ログインパスワードを入力
Time Zone: Tokyo を選択
・作成したユーザーでGraylogへログインしてください。
・「Search」で受信したログの検索ができます
今回はここまで。