Graylog es una herramienta de código abierto para la gestión de registros. Consiste en Elastic Search, MongoDB y Graylog. Graylog se puede usar para analizar registros y notificar si hay alguna discrepancia en los registros. También podemos usarlo para analizar registros tanto convencionales como personalizados.
En este artículo instalaremos Graylog. Debe tener una cuenta con privilegios sudo o cuenta raíz.
Actualice los paquetes de su sistema.
apt install -y apt-transport-https openjdk-11-jre-headless uuid-runtime pwgen curl dirmngr
apt update
apt upgradepuede verificar la versión de Java instalada usando el comando anterior.
java -version
Instalaremos Elastic Search, que usaremos eventualmente para analizar y almacenar registros importados de diferentes máquinas.
descargue e instale Elastic Search GPG Key.
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -Agregue el repositorio de Elastic Search en la lista de fuentes de Ubuntu 21.
echo "deb https://artifacts.elastic.co/packages/oss-7.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-7.x.listUse los comandos mencionados a continuación para instalar Elastic Search.
sudo apt update
sudo apt install -y elasticsearch-oss
Agregue el nombre del clúster para graylog en la búsqueda elástica. Abra el archivo de configuración de Elastic Search con el siguiente comando:
nano /etc/elasticsearch/elasticsearch.ymlDescomente la línea "#cluster.name:my-application" eliminando el signo # al comienzo de la línea y reemplace "my-application" con graylog
Agregue la siguiente línea en el archivo de configuración:
action.auto_create_index: false
Vuelva a cargar el demonio, luego inicie y habilite Elastic Search Service.
systemctl daemon-reload
systemctl start elasticsearch.service
systemctl enable elasticsearch.service
systemctl status elasticsearch.service
Elastic Search usa el puerto 9200 use el comando curl para verificar Elastic Search.
curl -X GET http://localhost:9200
Ahora, instalaremos mongoDB. Graylog usará mongoDB, por lo que es bastante esencial.
Use los siguientes comandos para instalar MongoDB.
apt update
apt install dirmngr gnupg apt-transport-https ca-certificates software-properties-common
wget -qO - https://www.mongodb.org/static/pgp/server-4.4.asc | sudo apt-key add -
add-apt-repository 'deb [arch=amd64] https://repo.mongodb.org/apt/ubuntu focal/mongodb-org/4.4 multiverse'
apt install mongodb-org
Inicie y habilite MongoDB.
systemctl start mongod.service
systemctl enable mongod.service
systemctl status mongod.service
Instalar Graylog:
Descarga el repositorio de Garylog.
wget https://packages.graylog2.org/repo/packages/graylog-4.1-repository_latest.deb
dpkg -i graylog-4.1-repository_latest.debAhora, instale el servidor Graylog.
apt update
apt install -y graylog-server
El servidor Graylog está instalado. Ahora, lo configuraremos.
Use el comando pwgen para generar un secreto para la contraseña de usuario segura.
pwgen -N 1 -s 96
Edite el archivo de configuración de graylog para agregar el secreto anterior.
nano /etc/graylog/server/server.confbusque la línea "password_secret" y agregue el secreto después del signo "=".
agregue las siguientes líneas en el archivo de configuración:
rest_listen_uri = http://192.168.189.129:9000/api/
web_listen_uri = http://192.168.189.129:9000/
guarde y salga del archivo.
Ahora genere una contraseña para acceder a la web del servidor graylog. Use el siguiente comando para hacerlo.
echo -n admin | sha256sum
reemplace admin con su contraseña deseada, la que desea configurar en el comando anterior.
El comando mencionado anteriormente generará una clave hash. ingréselo en el archivo de configuración “/etc/graylog/server/server.conf” en la línea “root_password_sha2 =“
guarde y salga del archivo.
Inicie y habilite el servicio graylog.
systemctl daemon-reload
systemctl restart graylog-server.service
systemctl enable graylog-server.service
systemctl status graylog-server.service
descomente la siguiente línea del archivo de configuración:
http_bind_address = 0.0.0.0:9000
Abra el navegador web e ingrese http://192.168.189.129:9000/ e ingrese admin como nombre de usuario y contraseña.
Después de ingresar las credenciales, ingresará al servidor graylog. Ahora puede configurar en consecuencia para ver sus registros.
