SIEM/Log Management [SIEM/Logs Management]-[Lab01]: Cài đặt giải pháp Log Server với Graylog

Mục Lục​

I. Giới Thiệu​

II. Triển khai Graylog​

---

I. Giới Thiệu​

Trong môi trường mạng hiện đại, việc thu thập, quản lý và phân tích log tập trung là một yêu cầu thiết yếu để giám sát hệ thống, phát hiện sự cố và truy vết bảo mật. Graylog là một nền tảng mã nguồn mở mạnh mẽ, hỗ trợ thu nhận log từ nhiều nguồn khác nhau (như Syslog, Filebeat, GELF, v.v.), xử lý dữ liệu theo thời gian thực và trực quan hóa qua giao diện web thân thiện. Bài viết này sẽ hướng dẫn mọi người cách để cài đặt và triển khai Graylog

II. Triển khai Graylog​

1. Cài đặt OpenJDK​

Trước khi cài đặt Graylog, chúng ta cần cài đặt Java. Phiên bản mới nhất của Graylog - yêu cầu tối thiểu là OpenJDK 17.
- Chạy lệnh:

2. Cài đặt ElasticSearch​

Elasticsearch là một thành phần quan trọng trong hệ thống Graylog, đóng vai trò lưu trữ, tìm kiếm và phân tích log. Đây là một công cụ tìm kiếm phân tán mạnh mẽ, thường được sử dụng trong các giải pháp giám sát log và bảo mật.
- Chạy lệnh để thêm khóa GPG của ElasticSearch:

- Tải ElasticSearch Repository:
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list

- Chạy lệnh để cài đặt ElasticSearch:


- Sau khi cài đặt thành công mở file cấu hình:

- Thêm hoặc sửa dòng sau:

- Lưu file và khởi động lại:

- Bật ElasticSearch khởi động cùng hệ thống:

3. Cài đặt MongoDB Server​

MongoDB là cơ sở dữ liệu NoSQL dùng để lưu trữ thông tin cấu hình và người dùng cho Graylog. Các phiên bản mới của Graylog yêu cầu MongoDB từ bản 5.x đến 6.x.
- Thêm khóa GPG của MongoDB:

- Thêm repository của MongoDB vào hệ thống:
echo "deb [ arch=amd64,arm64 signed=/etc/apt/trusted.gpg.d/mongodb-server-6.0.gpg ] https://repo.mongodb.org/apt/ubuntu jammy/mongodb-org/6.0 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-6.0.list
- Cài đặt MongoDB:

- Khởi động và kiểm tra trạng thái:

- Khởi động cùng hệ thống:

4. Cài đặt Graylog​

Sau khi đã cài đặt MongoDB và Elasticsearch, giờ là lúc chúng ta tiến hành cài đặt Graylog Server – trung tâm xử lý và hiển thị log.
- Tải và thêm gói cài đặt Graylog:

- Cài đặt Graylog Server:

- Tạo khóa bí mật (Nhớ note lại):

- Mã hóa mật khẩu admin (Nhớ note lại):

- Mở file cấu hình:

- Cập nhật hai dòng sau bằng các giá trị đã tạo:

- Cấu hình địa chỉ giao diện web (thay bằng IP máy Graylog):


- Khởi động và kiểm tra trạng thái:

- Cho phép bật khi khởi động:

Sau khi cài đặt đủ tất cả các bước trên truy cập vào địa chỉ IP bind đã lưu trong file cấu hình sẽ hiển thị giao diện của Graylog.


Vậy là bạn đã thành công trong việc cài đặt và triển khai Graylog cho giải pháp Log Server!