Graylog (anteriormente conocido como Graylog2) es una plataforma de administración de registros de código abierto que lo ayuda a recopilar, indexar y analizar los registros de cualquier máquina en una ubicación centralizada. Esta guía lo ayuda a instalar Graylog2 en Ubuntu 15.04, también se enfoca en la instalación de otros cuatro componentes que hacen de Graylog2 una poderosa herramienta completa de administración de registros.
Componentes:
1. MongoDB:almacena las configuraciones y la metainformación.
2. Elasticsearch:almacena los mensajes de registro y ofrece una función de búsqueda; los nodos deben tener mucha memoria, ya que aquí se realizan todas las operaciones de E/S.
3. GrayLog:analizador de registros, recopila los registros de varias entradas.
4. Interfaz web GrayLog =le proporciona el portal basado en web para administrar los registros.
Requisitos previos:
Dado que Elasticsearch se basa en Java, necesitaríamos instalar openJDK u Oracle JDK. Se recomienda instalar Oracle JDK, verificar la versión de Java usando el siguiente comando.
$ java -version java version "1.8.0_60" Java(TM) SE Runtime Environment (build 1.8.0_60-b27) Java HotSpot(TM) 64-Bit Server VM (build 25.60-b23, mixed mode)
Instalar Elasticsearch:
Elasticsearch es un servidor de búsqueda de código abierto que ofrece análisis y búsqueda distribuidos en tiempo real con una interfaz web RESTful. Elasticsearch almacena todos los registros enviados por el servidor Graylog y muestra los mensajes cuando la interfaz web de graylog solicita una solicitud de usuario de llenado completo a través de la interfaz web. Este tema cubre los ajustes de configuración que se requieren para Graylog, también puede consultar Instalar Elasticsearch en CentOS 7/Ubuntu 14.10/Linux Mint 17.1 para obtener instrucciones detalladas.
Instalemos Elasticsearch, se puede descargar desde el sitio web oficial.
Descargue e instale la clave de firma GPG.
$ sudo wget -qO - https://packages.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
Guarde la definición del repositorio en /etc/apt/sources.list.d/elasticsearch.list
$ echo "deb http://packages.elastic.co/elasticsearch/1.7/debian stable main" | sudo tee -a /etc/apt/sources.list.d/elasticsearch.list
Actualice la memoria caché del repositorio.
$ sudo apt-get update
Instala Elasticsearch.
$ sudo apt-get install elasticsearch
Configure Elasticsearch para que se inicie durante el inicio del sistema.
$ sudo systemctl start elasticsearch $ sudo systemctl enable elasticsearch
Lo único importante es establecer un nombre de clúster como "graylog2 “, que está siendo utilizado por graylog. Ahora edite el archivo de configuración de Elasticsearch.
$ sudo nano /etc/elasticsearch/elasticsearch.yml cluster.name: graylog2
Deshabilite los scripts dinámicos para evitar la ejecución remota, eso se puede hacer agregando la siguiente línea al final del archivo anterior.
script.disable_dynamic: true
Una vez hecho esto, estamos listos para irnos. Antes de eso, reinicie los servicios de Elasticsearch para cargar la configuración modificada.
$ sudo systemctl restart elasticsearch
Espere al menos un minuto para permitir que Elasticsearch se reinicie por completo; de lo contrario, la prueba fallará. Elastisearch debería escuchar ahora en 9200 para procesar la solicitud HTTP, podemos usar CURL para obtener la respuesta. Asegúrese de que regrese con el nombre del clúster como "graylog2 ”
$ curl -X GET http://localhost:9200
{
"status" : 200,
"name" : "Pistol",
"cluster_name" : "graylog2",
"version" : {
"number" : "1.7.1",
"build_hash" : "b88f43fc40b0bcd7f173a1f9ee2e97816de80b19",
"build_timestamp" : "2015-07-29T09:54:16Z",
"build_snapshot" : false,
"lucene_version" : "4.10.4"
},
"tagline" : "You Know, for Search"
} Opcional: Use el siguiente comando para verificar el estado del clúster de Elasticsearch, debe obtener un estado de clúster como "verde ” para que graylog funcione.
$ curl -XGET 'http://localhost:9200/_cluster/health?pretty=true'
{
"cluster_name" : "graylog2",
"status" : "green",
"timed_out" : false,
"number_of_nodes" : 1,
"number_of_data_nodes" : 1,
"active_primary_shards" : 0,
"active_shards" : 0,
"relocating_shards" : 0,
"initializing_shards" : 0,
"unassigned_shards" : 0,
"delayed_unassigned_shards" : 0,
"number_of_pending_tasks" : 0,
"number_of_in_flight_fetch" : 0
} Instalar MongoDB:
MongoDB está disponible en formato dep y se puede descargar desde el sitio web oficial. Agregue la siguiente información de repositorio en el sistema para instalar MongoDB. Antes de eso, debemos importar la clave pública.
$ sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 7F0CEB10
Agregue el repositorio creando el archivo de lista /etc/apt/sources.list.d/mongodb-org-3.0.list usando el comando.
### Ubuntu 15.04 / 14.10 ### $ echo "deb http://repo.mongodb.org/apt/debian wheezy/mongodb-org/3.0 main" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.0.list
Actualice la memoria caché del repositorio.
$ sudo apt-get update
Instale MongoDB usando el siguiente comando.
$ sudo apt-get install mongodb-org
Inicie el servicio MongoDB y permita que se inicie automáticamente durante el inicio del sistema.
$ sudo systemctl start mongod $ sudo systemctl enable mongod
Instalar Graylog2:
Graylog-server acepta y procesa los mensajes de registro, también genera RESTAPI para las solicitudes que provienen de graylog-web-interface. Descargue la última versión de graylog desde graylog.org, use el siguiente comando para descargar usando la terminal.
$ wget https://packages.graylog2.org/releases/graylog2-server/graylog-1.1.6.tgz
Extráigalo y muévalo a /opt.
$ sudo tar -zxvf graylog-1.1.6.tgz $ sudo mv graylog-1.1.6/ /opt/graylog
Copie el archivo de configuración de muestra en /etc/graylog/server, cree el directorio si no existe.
$ sudo mkdir -p /etc/graylog/server $ sudo cp /opt/graylog/graylog.conf.example /etc/graylog/server/server.conf
Edite el archivo server.conf.
$ sudo nano /etc/graylog/server/server.conf
Configure las siguientes variables en el archivo anterior.
Establezca un secreto para proteger las contraseñas de los usuarios, use el siguiente comando para generar un secreto, use al menos 64 caracteres.
$ pwgen -N 1 -s 96 OH9wXpsNZVBA8R5vJQSnkhTB1qDOjCxAh3aE3LvXddtfDlZlKYEyGS24BJAiIxI0sbSTSPovTTnhLkkrUvhSSxodTlzDi5gP
Si obtiene un "pwgen:comando no encontrado “, use el siguiente comando para instalar pwgen.
$ sudo apt-get install pwgen
Coloca el secreto.
password_secret = OH9wXpsNZVBA8R5vJQSnkhTB1qDOjCxAh3aE3LvXddtfDlZlKYEyGS24BJAiIxI0sbSTSPovTTnhLkkrUvhSSxodTlzDi5gP
Lo siguiente es establecer una contraseña hash para el usuario root (que no debe confundirse con el usuario del sistema, el usuario root de graylog es admin). Utilizará esta contraseña para iniciar sesión en la interfaz web, la contraseña del administrador no se puede cambiar mediante la interfaz web, debe editar esta variable para establecerla.
Reemplace “su contraseña ” con la elección de los suyos.
# echo -n yourpassword | sha256sum e3c652f0ba0b4801205814f8b6bc49672c4c74e25b497770bb89b22cdeb4e951
Coloque la contraseña hash.
root_password_sha2 = e3c652f0ba0b4801205814f8b6bc49672c4c74e25b497770bb89b22cdeb4e951
Graylog intentará encontrar los nodos de Elasticsearch automáticamente, utiliza el modo de multidifusión para el mismo. Pero cuando se trata de una red más grande, se recomienda utilizar el modo de unidifusión, que es el más adecuado para las configuraciones de producción. Así que agregue las siguientes dos entradas al archivo graylog server.conf, reemplace ipaddress con nombre de host en vivo o dirección IP. Se pueden agregar varios hosts separados por comas.
elasticsearch_http_enabled = false elasticsearch_discovery_zen_ping_unicast_hosts = ipaddress:9300
Establezca solo un nodo maestro definiendo la siguiente variable, la configuración predeterminada es verdadera, debe configurarla como falsa para convertir el nodo en particular en esclavo. El nodo maestro realiza algunas tareas periódicas que el esclavo no realizará.
is_master = true
La siguiente variable establece la cantidad de mensajes de registro que se deben mantener por índice; se recomienda tener varios índices más pequeños en lugar de índices más grandes.
elasticsearch_max_docs_per_index = 20000000
El siguiente parámetro define tener un número total de índices, si se alcanza este número, se eliminará el índice antiguo.
elasticsearch_max_number_of_indices = 20
La configuración de fragmentos realmente depende de la cantidad de nodos en el clúster de Elasticsearch, si solo tiene un nodo, configúrelo como 1.
elasticsearch_shards = 1
La cantidad de réplicas para sus índices, si solo tiene un nodo en el clúster de Elasticsearch; configúrelo como 0.
elasticsearch_replicas = 0
Inicie el servidor graylog usando el siguiente comando.
$ sudo cp /opt/graylog/bin/graylogctl /etc/init.d/graylog2
Actualice la secuencia de comandos de inicio para colocar los registros de Graylog2 en /var/log y busque el archivo JAR del servidor de Graylog2 en /opt/graylog ejecutando los dos comandos sed siguientes:
$ sudo sed -i -e 's/\=graylog.jar/\=\/opt\/graylog\/graylog.jar/g' /etc/init.d/graylog2 $ sudo sed -i -e 's/\=log/\=\/var\/log/g' /etc/init.d/graylog2
Instale el script de inicio.
$ sudo update-rc.d graylog2 defaults
Inicie el servicio Graylog.
$ sudo service graylog2 start
En el inicio exitoso de graylog-server, debería recibir el siguiente mensaje en el archivo de registro (/var/log/graylog-server.log).
2015-09-07 17:41:21,407 INFO : org.graylog2.shared.initializers.RestApiService - Started REST API at <http://127.0.0.1:12900/>
Instalar la interfaz web de Graylog:
Para configurar la interfaz web de graylog, debe tener al menos un nodo de servidor de graylog; descargue el mismo número de versión para asegurarse de que sea compatible
$ wget https://packages.graylog2.org/releases/graylog2-web-interface/graylog-web-interface-1.1.6.tgz
Extraiga el archivo y muévalo a /opt.
$ sudo tar -zxvf graylog-web-interface-1.1.6.tgz $ sudo mv graylog-web-interface-1.1.6 /opt/graylog-web-interface
Edite el archivo de configuración y configure los siguientes parámetros.
$ sudo nano /opt/graylog-web-interface/conf/graylog-web-interface.conf
Esta es la lista de nodos del servidor graylog, puede agregar varios nodos, separados por comas.
graylog2-server.uris="http://127.0.0.1:12900/"
Establezca el secreto de la aplicación y se puede generar usando pwgen -N 1 -s 96.
application.secret="sNXyFf6B4Au3GqSlZwq7En86xp10JimdxxYiLtpptOejX6tIUpUE4DGRJOrcMj07wcK0wugPaapvzEzCYinEWj7BOtHXVl5Z"
Descargue el script de inicio graylog-web-interface desde GitHub.
$ wget https://gist.githubusercontent.com/stojg/d1cbb8536e5a447e1f3a/raw/32b95a7909fa8fa42991600dbbb4d871bd86486b/graylog2-web-interface
Mueva el archivo al directorio de inicio y cambie los permisos del archivo.
$ sudo mv graylog2-web-interface /etc/init.d/graylog2-web $ sudo chown root:root /etc/init.d/graylog2-web $ sudo chmod 755 /etc/init.d/graylog2-web
Edite el script de inicio para cambiar el directorio de la interfaz web.
$ sudo sed -i -e 's/graylog2-web-interface/graylog-web-interface/g' /etc/init.d/graylog2-web
Instale el script de inicio.
$ sudo update-rc.d graylog2-web defaults
Inicie el servicio Graylog.
$ sudo service graylog2-web start
La interfaz web escuchará en el puerto 80. Apunte su navegador hacia él. Inicie sesión con el nombre de usuario admin y la contraseña que configuró en root_password_sha2 en servidor.conf .
Una vez que haya iniciado sesión, obtendrá la siguiente página de búsqueda.
¡Eso es todo! Ha instalado correctamente Graylog2 en Ubuntu 15.04.