Graylog располагает официальными DEB и RPM репозиториями. Пакеты были протестированы в следующих операционных системах:

• Ubuntu 16.04, 18.04, 20.04
• Debian 8, 9, 10
• RHEL/CentOS 6, 7, 8

Перед установкой GrayLog системе должны присутствовать следующие сервисы и пакеты:

• Java (> = 8)
• Elasticsearch (6.x или 7.x)
• MongoDB (4.0, 4.2 или 4.4)

Взяв за основу минимальную настройку сервера, потребуются следующие дополнительные пакеты:

sudo apt-get update && sudo apt-get upgrade
sudo apt-get install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen

Если получаем сообщение об ошибке: Невозможно найти пакет, вероятно, необходимо включить репозиторий universe, что можно сделать, введя следующую команду и последующие команды следующим образом:

$ sudo add-apt-repository universe
sudo apt-get update && sudo apt-get upgrade
sudo apt-get install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen

Официальный репозиторий MongoDB, предоставляет самую последнюю версию и является рекомендуемым способом установки MongoDB:

sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 9DA31620334BD75D9DCB49F368818C72E52529D4
echo "deb [ arch=amd64 ] https://repo.mongodb.org/apt/ubuntu bionic/mongodb-org/4.0 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-4.0.list
sudo apt-get update
sudo apt-get install -y mongodb-org

Последний шаг - включить MongoDB во время запуска операционной системы и убедиться, что она работает.

$ sudo systemctl daemon-reload
sudo systemctl enable mongod.service
sudo systemctl restart mongod.service
sudo systemctl --type=service --state=active | grep mongod

Graylog можно использовать с Elasticsearch 7.x. Следуйте приведенным ниже инструкциям, чтобы установить версию Elasticsearch с открытым исходным кодом.

$ wget -q https://artifacts.elastic.co/GPG-KEY-elasticsearch -O myKey
sudo apt-key add myKey
echo "deb https://artifacts.elastic.co/packages/oss-7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
sudo apt-get update && sudo apt-get install elasticsearch-oss

Измените файл конфигурации Elasticsearch /etc/elasticsearch/elasticsearch.yml и задайте имя кластера graylog и раскомментируем, action.auto_create_index: false?чтобы, активировать действие:

sudo tee -a /etc/elasticsearch/elasticsearch.yml > /dev/null <<EQT
cluster.name: graylog
action.auto_create_index: false
EOT

После изменения конфигурации можете запустить Elasticsearch и убедиться, что он работает.

sudo systemctl daemon-reload
sudo systemctl enable elasticsearch.service
sudo systemctl restart elasticsearch.service
sudo systemctl --type=service --state=active | grep elasticsearch

Теперь установите конфигурацию репозитория Graylog и сам Graylog с помощью следующих команд:

wget https://packages.graylog2.org/repo/packages/graylog-4.1-repository_latest.deb
sudo dpkg -i graylog-4.1-repository_latest.deb
sudo apt-get update && sudo apt-get install graylog-server graylog-enterprise-plugins graylog-integrations-plugins graylog-enterprise-integrations-plugins

Далее, в файле конфигурации /etc/graylog/server/server.conf следует отредактировать следующее директивы: password_secret и root_password_sha2. Они являются обязательными и Graylog не заводится без них.

Для root_password_sha2

echo -n "Enter Password: " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1

Для password_secret

sudo -E sed -i -e "s/password_secret =.*/password_secret = $(pwgen -s 128 1)/" /etc/graylog/server/server.conf

Чтобы иметь возможность подключиться к Graylog, нужно установить в http_bind_address публичное имя хоста или публичный IP-адрес машины, к которой можем подключиться.

Последний шаг - включаем Graylog в автозапуск и убедимся, что он работает.

sudo systemctl daemon-reload
sudo systemctl enable graylog-server.service
sudo systemctl start graylog-server.service
sudo systemctl --type=service --state=active | grep graylog