10.1. Встановлення серверу аналізу журналів подій

Перед початком встановлення віртуальна машина (або фізичний сервер) повинні бути попередньо налаштовані згідно розділів 5.1 та 5.2.

~~Примітка.~~Для ~~Додатково,~~встановлення насерверу ~~зазначеному~~аналізу ~~сервері~~журналів ~~може бути інстальовано засіб перевірки повідомлень~~, ~~згідно розділу~~подій 9.

необхідно

~~Сервер~~виконати ~~баз~~наступні даних та архівування являє собою СКБД PostgreSQL. Для її встановлення на сервер баз даних та архівування необхідно:

~~Примітка.~~ Передбачається, що доступ до бази даних з шлюзу безпечного обміну попередньо сконфігуровано, в тому числі на рівні мережідії:

1. Закрити доступ до сторонніх репозиторіїв за допомогою наступної команди:

sudo sed -i 's/^[A-Za-z0-9]/#&/' /etc/apt/sources.list

2. Додати у операційну систему репозиторій з пакетами системи «Трембіта»:

echo 'deb https://project-repo.trembita.gov.ua:8081/repository/ss-1.12.6/trembita-monitoring_archive/ bionicgraylog main' | sudo tee -a /etc/apt/sources.list

Перевірити результат виконання команд можна за допомогою текстового редактора nano, відкривши файл на редагування за допомогою наступної команди:

sudo nano /etc/apt/sources.list

3. Додати GPG ключ репозиторію за допомогою наступної команди:

sudo wget -O - https://project-repo.trembita.gov.ua:8081//public-keys/public.key.txt | sudo apt-key add -

Якщо команду виконано успішно, то буде виведено повідомлення «ОК».

4. Встановити ПЗпрограмне ~~СКБД~~забезпечення ~~PostgreSQL~~серверу нааналізу ~~сервері~~журналів ~~баз~~подій ~~даних~~з тарепозиторію ~~архівування~~ за допомогою послідовного виконання наступних ~~команд:~~команд:

sudo apt update
sudo apt install -yopenjdk-8-jre-headless postgresqluuid-runtime pwgen
sudo apt install mongodb-org

Перезапустити

5.сервіси ~~Створити користувача бази даних на сервері баз даних~~mongodb та ~~архівування~~активувати їх автозапуск при запуску ОС за допомогою послідовного виконання наступних команд ~~від імені користувача postgres:~~:

sudo -ssystemctl sudaemon-reload
postgressudo createusersystemctl -Penable <msglog_user>mongod.service
sudo systemctl restart mongod.service

де6. ~~<msglog_user>-~~Перевірити, ~~логін~~що ~~нового користувача СКБД.~~

6~~. Двічі ввести пароль для користувача~~ <~~msglog_user~~>.

7~~. Створити базу даних~~ ~~за допомогою наступної команди від імені користувача postgres:~~

createdb <msglog_db> -O <msglog_user> -E UTF-8

де ~~<msglog_~~db>~~- назва бази даних.~~

~~<msglog_user>- логін нового користувача якого було створено на попередньому кроці.~~

8~~. Налаштувати дозволи на підключення до сервера баз~~база даних такоректно ~~архівування~~почала ~~з ШБО, для чого необхідно виконати наступні дії:~~

- ~~Здійснити вихід із сесії користувача postgres на сервері баз даних та архівування~~роботу за допомогою наступної команди:

Exit

- ~~Здійснити вихід з привілейованого режиму командного рядка, так само за допомогою команди exit:~~

exit

- Відкрити на редагування файл /etc/postgresql/10/main/pg_hba.conf, який містить налаштування прав доступу, за допомогою команди:

sudo nanosystemctl /etc/postgresql/10/main/pg_hba.conf

--type=service

--state=active ~~Додати~~| уgrep ~~кінець відкритого файлу наступний рядок:~~

host <msglog_db>    <msglog_user>  <IP_адреса_ШБО>/32    md5

де ~~<msglog_~~db>~~- назва бази даних.~~mongod

~~<msglog_user>- логін нового користувача якого було створено вище.~~

<7~~IP_адреса_ШБО~~>. -Встановити ~~ІР-адреса~~пакет ~~ШБО, до якого буде підключений сервер баз даних та архівування~~ ~~згідно мережевої схеми.~~

- Закрити редактор, натиснувши комбінацію клавіш «Ctrl+X», далі буде показано повідомлення про підтвердження на збереження змін - необхідно натиснути «Y», а потім ~~«Enter» для збереження.~~

- ~~Відкрити на редагування файл /etc/postgresql/10/main/postgresql.conf~~elasticsearch за допомогою наступної команди:

sudo nanoapt-get /etc/postgresql/10/main/postgresql.conf

install

elasticsearch

- ~~Знайти у файлі рядок з параметром «listen_addresses», розкоментувати його (видалити символ «~~#» ~~на початку рядка)~~ ~~та замінити значення:~~

#listen_addresses = 'localhost'      # what IP address(es) to listen on;

на:

listen_addresses = '*'         # what IP address(es) to listen on;

~~Примітка.~~ ~~Зазначені зміни внесені для того, щоб дозволити СКБД PostgreSQL приймати мережеві підключення.~~

-8. ~~Закрити~~Змінити ~~редактор,~~конфігурацію ~~натиснувши~~сервісу комбінацію клавіш «Ctrl+X», далі буде показано повідомлення про підтвердження на збереження змін - необхідно натиснути «Y», а потім ~~«Enter»~~ ~~для збереження.~~

- ~~Перезавантажити сервіс postgresql~~elasticsearch за допомогою наступної команди:

sudo servicetee postgresql-a restart

/etc/elasticsearch/elasticsearch.yml > /dev/null <<EOT

cluster.name: graylog

action.auto_create_index: false

EOT

~~Перевірити~~9. ~~коректність~~Запустити ~~налаштувань~~сервіс ~~можна~~elasticsearch та налаштувати його автоматичний запуск під час завантаження ОС за допомогою послідовного виконання наступних команд:

sudo systemctl daemon-reload

sudo systemctl enable elasticsearch.service

sudo systemctl restart elasticsearch.service

10. Перевірити, що запуск сервісу відбувся успішно за допомогою наступної команди:

sudo netstat -lnpt|grep 5432

~~На екрані буде відображено повідомлення, яке має містити два рядки, один з яких повинен мати значення: 0.0.0.0:5432~~

sudo systemctl --type=service --state=active | grep elasticsearch

11. Встановити сервер Graylog за допомогою наступної команди:

sudo apt-get install graylog-server