Graylog 4 离线安装一步一步验证的很稳健

which java

建立软连接

ln -s /usr/local/java/jdk1.8.0_121/bin/java /usr/bin/java

问题2

错误日志

the [action.auto_create_index] setting value [false] is too restrictive. disable [action.auto_create_index] or set it to [.watches,.triggered_watches,.watcher-history-*]

从这个意思可以看出，这是说直接这样配置限制性太强了，因此不可以这样配置，应该禁用该属性，或者采用黑白名单列表，例如，设置action.autocreateindex 为 +aaa,-bbb,+ccc,-（ +表示允许，-表示不允许，这里表示以aaa或者ccc开始index可以自动创建，以bbb或者其他字符开始的index不可以自动创建）。例如，在elasticsearch.yml中添加如下配置：

action.auto_create_index: .watches,.triggered_watches,.watcher-history-*

MongoDB安装

• 下载地址：https://docs.mongodb.com/manual/administration/install-on-linux/

• 4.2版本下载地址：https://docs.mongodb.com/v4.2/administration/install-on-linux/

下载具体地址：https://repo.mongodb.org/yum/redhat/7/mongodb-org/4.2/x86_64/RPMS/

• mongodb-org-server-4.2.9-1.el7.x86_64.rpm 安装 mongoDB 的服务端程序

• mongodb-org-shell-4.2.9-1.el7.x86_64.rpm 用命令行连接 mongoDB，则需要安装 shell 程序包

• mongodb-org-tools-4.2.9-1.el7.x86_64.rpm 附加工具，例如数据导入导出，则需要安装 tool 程序包

• mongodb-org-mongos-4.2.9-1.el7.x86_64.rpm 如果要部署集群，则还需要安装 mongos 程序包(暂时不需要)

1.安装

rpm -ivh mongodb-org-server-4.2.9-1.el7.x86_64.rpm

rpm -ivh mongodb-org-shell-4.2.9-1.el7.x86_64.rpm

rpm -ivh mongodb-org-tools-4.2.9-1.el7.x86_64.rpm

2.启动：安装完毕之后，执行如下命令，启动服务并设置为自动启动：

systemctl daemon-reload

systemctl enable mongod.service

systemctl start mongod.service

3.查看启动状态

systemctl status mongod.service

Graylog安装

这里是可选的，如果不用pwgen生成随机的则自己随便写例如abcdadfkdfs12345...至少使用 64 个字符。

后面需要pwgen工具，您需要在您的系统上安装EPEL并使用.

这里的pwgen随机密码生成可以在开发环境生成好，复制到生成环境

• sudo yum install epel-release

• sudo yum install pwgen

下载地址：https://packages.graylog2.org/el/stableServer/4.1/x86_64

• graylog-server

• graylog-enterprise-plugins 企业插件、可选、暂时不需要

• graylog-integrations-plugins 集成插件、可选、暂时不需要

• graylog-enterprise-integrations-plugins 企业集成插件、可选、暂时不需要

如果您不想安装集成插件或企业插件，则只需运行graylog-server

1.安装

rpm -ivh graylog-server-4.1.1-1.noarch.rpm

2.编辑配置文件

vim /etc/graylog/server/server.conf

• password_secret =

• 您必须设置一个用于密码加密和加盐的秘密。如果未设置，服务器将拒绝启动。至少使用 64 个字符。如果您运行多个graylog-server节点，请确保password_secret对所有节点使用相同的节点！

• 生成一个，例如 pwgen -N 1 -s 96

• 如果不用pwgen生成随机的则自己随便写例如abcdadfkdfs12345...至少使用 64 个字符。

• root_username = admin

• 默认 root 用户名为admin。

• root_password_sha2 = （即 admin的登录密码）

• 您将用于初始登录的密码的 SHA2 哈希值。将此设置为生成的 SHA2 哈希，您将能够使用用户名admin和密码yourpassword登录到 Web 界面。

echo -n "Enter Password: " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1

• 您必须为 root 用户指定一个哈希密码（您只需要在最初设置系统时以及在您失去与身份验证后端的连接的情况下）。无法使用 API 或通过 Web 界面更改此密码。如果需要更改，请在此文件中进行修改。

• http_bind_address = 127.0.0.1:9000 改为 0.0.0.0:9000，否则外面访问不到。

• root_timezone = Asia/Shanghai 时区

• allow_highlighting = true 搜索结果高亮（可选配置）

• elasticsearch_hosts （可选配置，单机不用管）

Graylog 应连接到的 Elasticsearch 主机列表。

• mongodb_uri（可选配置，单机不用管）

在此处输入您的 MongoDB 连接和身份验证信息。

3.启动

systemctl daemon-reload

systemctl enable graylog-server.service

systemctl start graylog-server.service

4.查看状态

systemctl status graylog-server.service

其服务端日志在：/var/log/graylog-server

5.浏览器访问：http://ip:9000，用户名admin密码是上面设置的

Elasticsearch相关

---

前言

使用 RPM 或 Debian 软件包时，可以在系统配置文件中指定系统设置和环境变量，该文件位于：

/etc/sysconfig/elasticsearch

文件描述符

Elasticsearch 使用了很多文件描述符或文件句柄。耗尽文件描述符可能是灾难性的，并且很可能会导致数据丢失。确保将运行 Elasticsearch 的用户的打开文件描述符数量限制增加到 65,536 或更高。

对于.zip和.tar.gz包，ulimit -n 65535在启动 Elasticsearch 之前设置为 root，或者设置nofile为65535in /etc/security/limits.conf。

在 Linux 系统上，可以通过编辑/etc/security/limits.conf文件为特定用户设置永久限制。要将用户的最大打开文件数设置elasticsearch为 65,535，请将以下行添加到limits.conf文件中：

elasticsearch - nofile 65535

RPM 和 Debian 软件包已将文件描述符的最大数量默认为 65535，不需要进一步配置。

检查每个节点的配置

curl -X GET “localhost:9200/_nodes/stats/process?filter_path=**.max_file_descriptors&pretty”

虚拟内存

Elasticsearchmmapfs默认使用一个目录来存储它的索引。操作系统对 mmap 计数的默认限制可能太低，这可能会导致内存不足异常。

在 Linux 上，您可以通过运行以下命令来增加限制 root：

sysctl -w vm.max_map_count=262144

要永久设置此值，请更新 /etc/sysctl.conf 中的vm.max_map_count设置。要在重新启动后进行验证，请运行sysctl vm.max_map_count.

RPM 和 Debian 软件包将自动配置此设置。无需进一步配置。

线程数

Elasticsearch 使用多个线程池来进行不同类型的操作。重要的是它能够在需要时创建新线程。确保 Elasticsearch 用户可以创建的线程数至少为 4096。

这可以通过ulimit -u 4096在启动 Elasticsearch 之前设置为 root来完成，或者设置nproc为4096in /etc/security/limits.conf。

作为服务运行时的包分发systemd将自动配置 Elasticsearch 进程的线程数。不需要额外的配置。

配置

配置文件位置**/etc/elasticsearch**

1、max file descriptors [4096] for elasticsearch process is too low, increase to at least [65536]

修改/etc/security/limits.conf,增加配置，用户退出后重新登录生效

•           soft    nofile            655350
  

•           hard    nofile            655350
  

2、max number of threads [3818] for user [es] is too low, increase to at least [4096]

修改/etc/security/limits.conf,增加配置，用户退出后重新登录生效

•           hard    nproc           4096
  

•           soft    nproc           4096
  

3、max file descriptors [65535] for elasticsearch process is too low, increase to at least [65536]

修改/etc/sysctl.conf，增加如下配置

fs.file-max=655350

保存后执行sysctl -p 生效

4、max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144]

修改/etc/sysctl.conf，增加如下配置

vm.max_map_count=262144

保存后执行sysctl -p 生效

允许外网访问

vi conf/elasticsearch.yml

修改 network.host 为 0.0.0.0