Este tutorial ayudará a los usuarios a instalar y usar Graylog en el servidor Ubuntu 20.04 LTS para recopilar y analizar datos de registro de sistemas de forma centralizada en un solo lugar.
Graylog es una herramienta de código abierto que ofrece una plataforma integrada para recopilar, indexar y analizar datos de registro. El sistema consta esencialmente de la interfaz web de Graylog, los servidores de Graylog, los nodos de Elasticsearch y una base de datos de Mongo.
Los nodos se pueden escalar según sea necesario. Un sistema en el que todo se combina en un nodo es suficiente para la prueba. El servidor Graylog es el elemento central de la arquitectura, que se encarga de la gestión de los índices de Elasticsearch y forma una capa de abstracción. Por lo tanto, sería posible cambiar Elasticsearch por otro sistema que sea particularmente adecuado para analizar los datos de registro.
Graylog admite varios mecanismos de entrada. De forma predeterminada, se admiten cuatro formatos o protocolos diferentes:Syslog, GELF, JSON / REST-URL y RAW. syslog es un estándar para la transmisión de mensajes de registro y los componentes del sistema suelen utilizarlo.
Cosas que necesitamos para realizar este tutorial:
- MongoDB
- Búsqueda elástica
- servidor Graylog
- Un usuario no root con
sudoderechos - Un servidor Ubuntu con 4 núcleos de CPU y 8 GB de RAM
Pasos para instalar Graylog Ubuntu 20.04 LTS
1. Instale las dependencias requeridas
El servidor Graylog requiere que se instalen algunas cosas en Ubuntu 20.04 LTS, entre ellas Java, un generador de contraseñas junto con algunas comunes. Ejecute los siguientes comandos para instalarlos todos.
Primero, ejecute el comando de actualización del sistema
sudo apt update
Luego instale los siguientes paquetes...
sudo apt-get install apt-transport-https openjdk-11-jre-headless uuid-runtime pwgen
2. Configure MongoDB en Ubuntu 20.04 para Graylog
Graylog usa MongoDB para almacenar datos, por lo tanto, debemos instalarlo en nuestro servidor para que luego los registros generados puedan guardarse allí para análisis posteriores.
Los paquetes que necesitamos instalar MongoDB ya está disponible en el repositorio oficial de Ubuntu, simplemente ejecute el siguiente comando:
sudo apt install -y mongodb-server
Habilite e inicie los servicios del servidor de base de datos:
sudo systemctl enable --now mongodb
sudo systemctl restart mongod.service
Para comprobar si se está ejecutando correctamente sin ningún error, puede ejecutar:
sudo systemctl status mongodb
3. Instale Elastic Search en el servidor ubuntu 20.04 LTS
Elasticsearch es un motor de análisis y búsqueda de texto completo de código abierto. También es altamente escalable y permite a los usuarios almacenar, buscar y analizar grandes volúmenes de datos rápidamente y casi en tiempo real, lo que será útil en Graylog para tratar y analizar una gran cantidad de registros.
Este sistema no está disponible en el repositorio base de Ubuntu 20.04, por lo tanto, debemos agregar manualmente el repositorio oficial de Elastic Search.
Añadir clave GPG:
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
Añadir repositorio de Elastic Search:
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-7.x.list
Comando para instalar la versión de código abierto de ElasticSearch en Ubuntu 20.04:
sudo apt-get update && sudo apt-get install elasticsearch-oss
Modifique el archivo de configuración de Elasticsearch para establecer el nombre del clúster en graylog y agrega action.auto_create_index: false
Para esto simplemente copiar y pegar el bloque de comando completo dado a continuación y pulsa Intro clave.
sudo tee -a /etc/elasticsearch/elasticsearch.yml > /dev/null <<EOT cluster.name: graylog action.auto_create_index: false EOT
Habilitar e iniciar el servicio de búsqueda de Elastic:
sudo systemctl daemon-reload sudo systemctl enable --now elasticsearch sudo systemctl restart elasticsearch.service
4. Comando para instalar Graylog Server en Ubuntu 20.04
Descargue el repositorio de Graylog que está disponible como paquete deb.
wget https://packages.graylog2.org/repo/packages/graylog-4.0-repository_latest.deb
Instalarlo:
sudo dpkg -i graylog-4.0-repository_latest.deb
Ahora, actualice su sistema, para que pueda reconocer el repositorio recién agregado para descargar los paquetes para Graylog:
sudo apt-get update
Finalmente, instálalo
sudo apt-get install graylog-server
Extra :si también desea instalar los complementos de integración o los complementos empresariales, ejecute:
sudo apt install graylog-enterprise-plugins graylog-integrations-plugins graylog-enterprise-integrations-plugins
5. Edite el archivo de configuración de Graylog para establecer la contraseña de administrador
Hay dos valores de contraseña: password_secret y root_password_sha2 , necesitamos configurarlos; de lo contrario, Graylog en Ubuntu 20.04 LTS no se iniciará en absoluto.
Estos dos valores están presentes en el archivo de configuración de Graylog y lo que establezcamos para ellos se utilizará para proteger las contraseñas de los usuarios e iniciar sesión en el usuario administrador en su interfaz web. Pero no podemos establecer un valor de texto sin formato para ellos, sino que tenemos que generar un hash. Entonces, ejecuta:
Establecer contraseña_clave secreta
pwgen -N 1 -s 96
El comando anterior generará una clave secreta para proteger las contraseñas de los usuarios, así que copie eso y edite el archivo de configuración usando:
sudo nano /etc/graylog/server/server.conf
Ahora, encuentra password_secret = en el archivo y pegue la clave secreta copiada delante de él. Como se muestra en la siguiente captura de pantalla.
Guarde el archivo presionando Ctrl + X , S, y pulsa Intro clave.
Establecer hash root_password_sha2
El nombre de usuario predeterminado para iniciar sesión en la interfaz web de Graylog es admin , mientras que la contraseña debe establecerse, eso es lo que estamos haciendo aquí. Genere un hash para la contraseña que desea configurar usando el siguiente comando:
echo -n MyPassword | sha256sum
Nota :Cambiar la Mi Contraseña en el comando anterior con la contraseña que desea establecer para iniciar sesión en la interfaz web de Graylog.
Al pulsar Intro key después de usar el comando anterior, se generará una suma hash. Cópialo.
Ahora, vuelva a editar el archivo de configuración :
sudo nano /etc/graylog/server/server.conf
Encuentra la línea: root_password_sha2 y pegue la suma hash delante, como se muestra en la siguiente captura de pantalla:
Además, de forma predeterminada, solo se puede acceder a Graylog mediante la IP del host local, es decir, 127.0.0.1 por lo tanto, en caso de que planee acceder a su interfaz web de forma remota, cámbielo con la dirección IP de su servidor en el archivo de configuración.
Encuentra la línea :http_bind_address, descoméntelo y cambie 127.0.0.1 con la dirección IP de su sistema donde está instalando graylog.
Guarde el archivo– Ctrl + X, Y y pulsa Intro clave.
6. Habilitar y reiniciar el servidor Graylog
Ya hemos realizado toda la configuración esencial, ahora habilite este servicio del sistema de registro para que se inicie automáticamente.
sudo systemctl daemon-reload sudo systemctl enable --now graylog-server sudo systemctl restart graylog-server
Compruebe si se está ejecutando sin ningún error o no:
sudo systemctl status graylog-server
Si planea acceder a la interfaz web de Graylog de forma remota y luego también abra el puerto 9000 en el cortafuegos de Ubuntu:
sudo ufw allow 9000
7. Acceder a la interfaz web
Abra un navegador en su sistema local o remoto que pueda acceder a la dirección IP del servidor Ubuntu 20.04. Y escriba el http://your-server-ipaddress:9000
Reemplace la dirección IP de su servidor con la dirección IP real de su servidor donde Graylog ha sido instalado.
El nombre de usuario predeterminado es admin mientras que la contraseña es lo que ha configurado en paso 5 de este artículo para root_password. Por ejemplo en el comando, hemos usado MyPassword .
8. Enviar registros de Sys del sistema host a Graylog
Cree un archivo de configuración en /etc/rsyslog.d/ para decirle al sistema dónde enviar los registros.
sudo nano /etc/rsyslog.d/90-graylog.conf
Agregue la siguiente línea:
*.* @your-server-ip:5140;RSYSLOG_SyslogProtocol23Format
Reemplaza la ip-de-tu-servidor con la dirección IP del sistema desde donde está enviando los registros. Si se trata de un sistema host en el que ha instalado Graylog, utilice la dirección IP de ese.
Guarde el archivo escribiendo Ctrl+X , S, y pulsa Intro clave.
Ahora, agregue Input for Node en Graylog.
En el Panel de Graylog, haga clic en Sistema -> Entradas .
Seleccione UDP de Syslog. y presiona Lanzar nueva entrada botón.
Seleccione el nodo del cuadro desplegable, dado algún título (lo que quieras) a Entrada y luego configura el puerto número a 5140 después de eso, desplácese hacia abajo y guarde la configuración.
Ahora, haga clic en "Iniciar entrada ” para iniciar la entrada del servidor.
9. Panel de métricas
Una vez que comenzó la entrada del servidor, haga clic en Buscar dado en el menú Graylog y comenzará a obtener métricas y registros en tiempo real desde su servidor. Además, puede establecer la frecuencia de actualización de las métricas.
Para saber más sobre esta herramienta de administración de registros y otras tareas de configuración, consulte la documentación oficial donde también encontrará la forma de usar Nginx/Apache como proxy inverso y HTTPS en Graylog.