Graylog es una herramienta de gestión de registros gratuita y de código abierto basada en Java, ElasticSearch y MongoDB. Graylog se puede utilizar para recopilar, indexar y analizar cualquier registro de servidor desde una ubicación centralizada o una ubicación distribuida. Podemos monitorear fácilmente cualquier actividad inusual para depurar aplicaciones y registros usando Graylog. Graylog proporciona un poderoso lenguaje de consulta, capacidades de alerta, una canalización de procesamiento para la transformación de datos y mucho más. También podemos ampliar la funcionalidad de Graylog a través de una API REST y complementos.
En este momento, todavía no existe una guía oficial de Graylog v3.1 en Debian 10.
La instalación de Graylog v3.1 en Debian 10 se realiza en 9 pasos:
- Paso 1:Actualice los sistemas con los repositorios de Debian Backport
- Paso 2:Instala algún ayudante
- Paso 3:Instale el tiempo de ejecución JAVA sin interfaz v11.00
- Paso 4:Instale MongoDB v4.2, una base de datos para almacenar las configuraciones y la metainformación.
- Paso 5:Instale Elasticsearch-OSS 6.x:almacena todos los mensajes entrantes y proporciona una función de búsqueda.
- Paso 6:Instale Graylog v3.1:recibe y registra desde varias entradas y proporciona una interfaz web para el análisis y la supervisión.
- Paso 7:Configurar Graylog
- Paso 8:Probar Graylog
- Paso 9:Inicie sesión en Graylog
Requisito previo
- Un Debian 10 mínimo. Podemos referirnos a este tutorial.
- Mínimo 4 GB de RAM, CPU de 2 núcleos y discos de 20 GB
- Contraseña predeterminada:KataLaluan
- Secreto predeterminado: SecretRahsiaSecreta
- acceso raíz usando "su - ", Debian cambió recientemente el comportamiento del comando su. Ahora 'su ' comando no reemplaza PATH. use "su - " en su lugar.
Paso 1:Actualice los sistemas con Debian Backport
Configurar el sistema para usar el repositorio de backports de Debian
cat > /etc/apt/sources.list << EOF
deb http://ftp.debian.org/debian/ buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb http://ftp.debian.org/debian/ buster-updates main contrib non-free
deb http://ftp.debian.org/debian buster-backports main contrib non-free
EOF
apt -y update
apt -y dist-upgrade
Paso 2:instalar el tiempo de ejecución de Java sin cabeza v11.00
Graylog y Elasticsearch es una aplicación basada en Java. Por lo tanto, necesitaremos instalar Java en su sistema. De forma predeterminada, la última versión de Java está disponible en el repositorio predeterminado de Debian 10. Podemos instalarlo simplemente ejecutando el siguiente comando:
apt -y install apt-transport-https default-jdk
Paso 3:instala algún ayudante
Necesitamos instalar algunas herramientas útiles como ayuda en el proceso:
- GnuPG:una implementación del estándar OpenPGP, para ayudar en el sistema de gestión de claves
- wget:una herramienta para recuperar archivos mediante HTTP, HTTPS y FTP, los protocolos de Internet más utilizados
apt -y install gnupg wget
Paso 4:instalar MongoDB v4.2
De forma predeterminada, MongoDB no está disponible en el repositorio predeterminado de Debian 10. Entonces necesitamos agregar el repositorio de MongoDB al sistema:
apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 4B7C549A058F8B6B
echo "deb http://repo.mongodb.org/apt/debian buster/mongodb-org/4.2 main" | tee /etc/apt/sources.list.d/latest-mongodb.list
apt -y update
apt install -y mongodb-org
Habilite y reinicie los servicios de MongoDB:
systemctl enable mongod.service
systemctl start mongod.service
Paso 5:Instalar Elasticsearch-OSS 6.x
En este momento, Graylog v3.1 aún no es compatible con Elasticsearch-OSS 7.x
Vamos a agregar la clave y el repositorio de Elasticsearch a Debian. Con el repositorio de elasticsearch proporcionado por elastic.co, podemos instalar Elasticsearch ejecutando el siguiente comando:
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add -
echo "deb https://artifacts.elastic.co/packages/oss-6.x/apt stable main" | tee -a /etc/apt/sources.list.d/latest-elastic-6.x.list
apt -y update
apt -y install elasticsearch-oss
Configurar Elasticsearch para el nombre del clúster
sed -i "s/#cluster.name: my-application/cluster.name: graylog-application/g" /etc/elasticsearch/elasticsearch.yml
Habilitar y reiniciar los servicios de Elasticsearch:
systemctl enable elasticsearch.service
systemctl start elasticsearch.service
Paso 6:Instalar Graylog v3.1
Vamos a descargar un paquete Graylog simple que ayuda a agregar la clave Graylog y configurar el repositorio Graylog
cd /tmp/
wget https://packages.graylog2.org/repo/packages/graylog-3.1-repository_latest.deb
dpkg -i graylog-3.1-repository_latest.deb
apt -y update
Instale Graylog ejecutando el siguiente comando:
apt -y install graylog-server
Paso 7:Configurar Graylog
Hash la contraseña y copie el hash. "KataLaluan " es la contraseña seleccionada actualmente.
echo 'KataLaluan' | tr -d '\n' | sha256sum | cut -d" " -f1
Agregue la contraseña cifrada en el archivo de configuración de Graylog
sed -i "s/^root_password_sha2 =\$/root_password_sha2 = a25d2f6605c9e27f182d39b66a8b527eb7f2360e52b2ccc7614f8ac24e472bef/g" /etc/graylog/server/server.conf
Agregue el secreto en el archivo de configuración de Graylog, la longitud mínima es de 16 caracteres.
sed -i "s/^password_secret =\$/password_secret = SecretRahsiaSecreta/g" /etc/graylog/server/server.conf
Permitir el acceso externo a graylog
sed -i "s/^#http_bind_address = 127.0.0.1:9000/http_bind_address = 0.0.0.0:9000/g" /etc/graylog/server/server.conf
Cambiar la zona horaria según la ubicación
sed -i "s/#root_timezone = UTC/root_timezone = Asia\/Kuala_Lumpur/g" /etc/graylog/server/server.conf
Habilite y reinicie los servicios de Graylog:
systemctl enable graylog-server.service
systemctl start graylog-server.service
si el Graylog está detrás de un enrutador, debemos establecer la dirección IP de la WAN del enrutador en la configuración de Graylog. También pueden ser registros A de DNS que apunten a la misma dirección IP
sed -i '/http_publish_uri =/c\http_publish_uri = http://graylog.howtoforge.com:9000/' /etc/graylog/server/server.conf
Paso 8:Probar Graylog
Probemos el Graylog usando algunos comandos primitivos
apt -y install netcat curl
Aquí hay un comando de muestra para iniciar sesión.
echo "Hello Graylog, let's be friends." | nc -w 1 -u 127.0.0.1 9099
Aquí hay un comando de muestra para obtener el estado de la API del servidor Graylog.
curl -X GET http://localhost:9200
curl -XGET 'http://localhost:9200/_cluster/health?pretty=true'
Aquí hay un comando de muestra para obtener el registro del servidor Graylog.
tail -f /var/log/graylog-server/server.log
Paso 9:Iniciar sesión en Graylog
Vamos a utilizar la WebGUI. la URL puede ser:
- http://
:9000/ - http://
:9000/ - http://
:9000/
Muestra de la URL
- http://192.168.0.3:9000/
- http://104.26.2.165:9000/
- http://graylog.howtoforge:9000/
Después de ingresar la URL en un navegador, deberíamos ver la siguiente página de inicio de sesión, el nombre de usuario predeterminado es admin , y la contraseña seleccionada es KataLaluan,
Después de iniciar sesión, deberíamos ver la siguiente página de Graylog:
Conclusión
Listo, hemos instalado y configurado con éxito el servidor Graylog 3.1 en Debian 10. Ahora podemos ver fácilmente los registros y el análisis de los registros del sistema en la ubicación central. Obtenga más información en la página de documentación de Graylog. Comente y envíe sus comentarios si tiene alguna pregunta.
Registro feliz.