Graylog es una plataforma de gestión de registros gratuita y de código abierto para capturar, almacenar y permitir el análisis en tiempo real de tus datos y registros. Está escrito en Java y construido sobre otro software de código abierto como MongoDB y Elasticsearch. Graylog proporciona una de las plataformas centralizadas de gestión de registros más eficaces, rápidas y flexibles. Con Graylog, puedes enviar y analizar datos estructurados y no estructurados de casi cualquier fuente de datos.
En esta guía, repasaremos la instalación de Graylog como Sistema Centralizado de Gestión de Registros en el servidor AlmaLinux 9. Instalarás el servidor Graylog y, a continuación, configurarás las entradas para que los clientes envíen registros al servidor Graylog.
Requisitos previos
Para que puedas completar esta guía, asegúrate de que tienes lo siguiente:
- Un servidor AlmaLinux 9 con al menos 4 GB de memoria – En este caso, utilizaremos un servidor AlmaLinux con 8 GB de memoria y dirección IP 192.168.10.20.
- Un usuario no root con privilegios de administrador.
Configurar repositorios
Para comenzar esta guía, añadirás nuevos repositorios a tu máquina AlmaLinux 9. Añadirás el repositorio de MongoDB 6.x, Opensearch 2.x, y el Graylog 5.x a tu sistema.
En primer lugar, ejecuta el siguiente comando dnf para instalar curl en tu sistema.
sudo dnf install curl -y
Ahora copia y ejecuta el siguiente comando para añadir el repositorio MongoDB. El servidor Graylog requiere al menos MongoDB v6.x.
cat <<EOF | sudo tee /etc/yum.repos.d/mongodb-org-6.repo [mongodb-org-6.0] name=MongoDB Repository baseurl=https://repo.mongodb.org/yum/redhat/9/mongodb-org/6.0/x86_64/ gpgcheck=1 enabled=1 gpgkey=https://www.mongodb.org/static/pgp/server-6.0.asc EOF
A continuación, ejecuta el siguiente comando para añadir el repositorio Opensearch. Opensearch es una alternativa a Elasticsearch, que se recomienda utilizar en la nueva versión de Graylog. En este caso, utilizaremos Opensearch v2.x.
sudo curl -SL https://artifacts.opensearch.org/releases/bundle/opensearch/2.x/opensearch-2.x.repo -o /etc/yum.repos.d/opensearch-2.x.repo
Ahora ejecuta el siguiente comando para añadir el repositorio de Graylog a tu sistema. En el momento de escribir esto, la última versión del servidor Graylog es la v5.1.
sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-5.1-repository_latest.rpm
Por último, ejecuta el comando dnf de abajo para verificar los repositorios disponibles en tu servidor AlmaLinux.
sudo dnf repolist
Si tiene éxito, deberías ver el repositorio de MongoDB 6.x, Opensearch 2.x y el servidor Graylog.
Instalación de dependencias
Después de añadir los repositorios, instalarás MongoDB 6.x y Opensearch 2.x a través del gestor de paquetes DNF. MongoDB se utilizará para los datos de cadenas, y Opensearch será el motor de búsqueda principal del servidor Graylog.
Ejecuta el siguiente comando dnf para instalar MongoDB y Opensearch. Introduce y cuando se te pida confirmación, y pulsa INTRO.
sudo dnf install mongodb-org opensearch
Una vez instalados MongoDB y Opensearch, ejecuta el siguiente comando systemctl para recargar el gestor systemd.
sudo systemctl daemon-reload
A continuación, inicia y activa el servicio MongoDB mediante el siguiente comando.
sudo systemctl start mongod sudo systemctl enable mongod
Inicia y habilita el servicio Opensearch con el siguiente comando.
sudo systemctl start opensearch sudo systemctl enable opensearch
Por último, ejecuta el siguiente comando para verificar el estado de los servicios MongoDB y Opensearch. Si se están ejecutando, el estado del servicio debe ser activo (en ejecución).
sudo systemctl status mongod sudo systemctl status opensearch
Comprobando el estado del servicio MongoDB.
Comprobación del estado del servicio Opensearch.
Configurar Opensearch
Para el despliegue de Graylog, se recomienda utilizar Opensearch como motor de búsqueda predeterminado. Una alternativa a Opensearch es Elasticsearch, pero sólo es compatible con Elasticsearch v7.x. En la siguiente sección, configurarás Opensearch como motor de búsqueda predeterminado para tu servidor Graylog.
En primer lugar, abre la configuración por defecto de Opensearch /etc/opensearch/opensearch.yml utilizando el siguiente comando del editor nano.
sudo nano /etc/opensearch/opensearch.yml
Descomenta el parámetro cluster.name e introduce el nombre de tu cluster Opensearch, node.name e introduce el nombre de host de tu sistema, y luego network.host e introduce tu dirección IP interna. En este caso, el nombre del clúster será graylog con el nombre de host graylog-alma y la dirección IP 192.168.10.20 (Esto se ejecuta en una red local).
cluster.name: graylog node.name: graylog-alma network.host: 0.0.0.0
Añade las siguientes líneas para configurar Opensearch como nodo/servidor único, desactivar auto_create_index y el plugin de seguridad (sólo con fines de prueba).
discovery.type: single-node action.auto_create_index: false plugins.security.disabled: true
Guarda el archivo y sal del editor cuando hayas terminado.
Ahora, abre el archivo /etc/opensearch/jvm. options con el editor nano para configurar la asignación de memoria máxima para el servicio Opensearch.
sudo nano /etc/opensearch/jvm.options
Cambia la asignación de memoria por defecto para tu instalación de Opensearch. En este caso, Opensearch debería ejecutarse con una memoria máxima de 2 GB.
-Xms2g -Xmx2g
Guarda el archivo y sal del editor al terminar.
A continuación, abre el archivo /usr/lib/tmpfiles.d/opensearch. conf utilizando el siguiente comando del editor nano.
sudo nano /usr/lib/tmpfiles.d/opensearch.conf
Cambia la ruta por defecto de /var/run/opensearch a /run/opensearch. Este directorio se utilizará para almacenar archivos adicionales relacionados con Opensearch y se creará automáticamente mediante esta configuración.
/run/opensearch
Guarda y cierra el archivo cuando hayas terminado.
Después, ejecuta el siguiente comando para aumentar el vm.max_map_count a 262144. Esto es requerido por el Opensearch, y para hacerlo permanente, añadirás un nuevo parámetro al archivo /etc/sysctl.conf.
sudo sysctl -w vm.max_map_count=262144 sudo echo 'vm.max_map_count=262144' >> /etc/sysctl.conf
Ahora ejecuta el siguiente comando systemctl para reiniciar el servicio Opensearch y aplicar los cambios que has realizado.
sudo systemctl restart opensearch
Opensearch debe ejecutarse en la dirección IP local de tu servidor, y en este caso, se ejecuta en 192.168.10.20 con el puerto por defecto 9200.
Ejecuta el siguiente comando curl para acceder a tu instalación de Opensearch.
curl 192.168.10.20:9200
Si la configuración de Opensearch se realiza correctamente, deberías ver la información detallada sobre tu instalación de Opensearch de la siguiente manera:
En este punto, Opensearch y MongoDB están listos. En la siguiente sección, comenzarás la instalación y configuración del servidor Graylog.
Instalación y configuración del servidor Graylog
En esta sección, instalarás el servidor Graylog v5.x en tu máquina AlmaLinux 9 y configurarás Graylog como gestión centralizada de registros para tu infraestructura.
Ejecuta el siguiente comando dnf para instalar el paquete graylog-server. Introduce y para confirmar la instalación y pulsa ENTER para continuar.
sudo dnf install graylog-server
Vuelve a introducir y para añadir la clave GPG del repositorio de Graylog.
Una vez instalado el servidor Graylog, ejecuta el siguiente comando para generar el password_secret para el servidor Graylog. Copia la cadena aleatoria que has generado.
< /dev/urandom tr -dc A-Z-a-z-0-9 | head -c${1:-96};echo;
Ahora ejecuta el siguiente comando para generar la contraseña_sha2_raíz para tu servidor Graylog. Esta contraseña se utilizará para acceder al panel de administración de Graylog.
echo -n "Enter Password: " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1
Introduce tu contraseña y copia la contraseña hash generada.
En el siguiente ejemplo JmGGtkruJ80LjnQBnz8QZ0gHjKpBZwWmH7JF0ZBa9iBS999bTlQfViaQj7jAH-XgIVcdVcDVYyy3x5Dh7fEXCPhbrSUXX1G1 es la contraseña secreta y 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8 es la contraseña root_password_sha2 generada para tu servidor Graylog.
A continuación, abre la configuración de Graylog /etc/graylog/server/server.conf con el editor nano.
sudo nano /etc/graylog/server/server.conf
Introduce la contraseña secreta generada en el parámetro password_secret y cambia la root_password_sha2 por defecto por la nueva contraseña que has generado.
password_secret = R8zwuO2NDewUcwRFQ0QDm07tn6AppmwThty0aagxOoqMDWNqPJLwrffpz7DdQyQVY1uHq54QwgYMNkZnBLuXQf3B1giq5RKX ... root_password_sha2 = a7fdfe53e2a13cb602def10146388c65051c67e60ee55c051668a1c709449111
Descomenta el parámetro http_bind_address y cambia la dirección IP por tu dirección IP interna seguida del puerto 9000 por defecto del servidor Graylog.
http_bind_address = 192.168.10.20:9000
Guarda el archivo y cierra el editor.
Ahora ejecuta el siguiente comando systemctl para recargar el gestor systemd.
sudo systemctl daemon-reload
A continuación, inicia y habilita el servidor Graylog mediante el comando siguiente.
sudo systemctl start graylog-server sudo systemctl enable graylog-server
Por último, comprueba el estado del servidor Graylog utilizando el siguiente comando. Si Graylog se está ejecutando, deberías obtener una salida activa (en ejecución) en tu terminal.
sudo systemctl status graylog-server
Además, también puedes verificar el servidor Graylog comprobando la lista de puertos abiertos en tu sistema utilizando el comando ss que aparece a continuación.
ss -tulpn | grep 9000
Si tienes éxito, deberías ver que el servidor Graylog está utilizando ese puerto 9000.
Configurar Firewalld y SELinux
Tras instalar y configurar el servidor Graylog, el siguiente paso será configurar SELinux y firewalld. En este caso, el SELinux se está ejecutando con el modo enforcing y el firewalld se está ejecutando.
Ejecuta el siguiente comando dnf para instalar las herramientas de gestión de SELinux en tu servidor AlmaLinux. Introduce y cuando se te pida, y pulsa ENTER para continuar.
sudo dnf install policycoreutils policycoreutils-python-utils
Ahora, ejecuta el siguiente comando para añadir algunas políticas SELinux y permitir puertos para algunos servicios como el servidor Graylog puerto 9000, MongoDB puerto 27017, y Opensearch puerto 9200.
sudo setsebool -P httpd_can_network_connect 1 sudo semanage port -a -t http_port_t -p tcp 9000 sudo semanage port -a -t http_port_t -p tcp 9200 sudo semanage port -a -t mongod_port_t -p tcp 27017
A continuación, ejecuta el siguiente comando firewall-cmd para añadir el puerto 9000 del servidor Graylog al firewalld y vuelve a cargar el firewalld para aplicar los cambios.
sudo firewall-cmd --add-port=9000/tcp --permanent sudo firewall-cmd --reload
Por último, ejecuta el siguiente comando para verificar la lista de reglas firewalld de tu sistema. Asegúrate de que el puerto 9000 está disponible en tu firewalld.
sudo firewall-cmd --list-all
Acceder al servidor Graylog
Una vez que hayas configurado correctamente SELinux y firewalld, ahora puedes acceder a tu instalación del servidor Graylog.
Inicia tu navegador web preferido y visita la dirección IP de tu servidor AlmaLinux seguida del puerto 9000 (es decir: http://192.168.10.20:9000/). Si la instalación de Graylog se ha realizado correctamente, deberías ver la página de inicio de sesión de Graylog como la siguiente.
Inicia sesión con el usuario por defecto admin y la contraseña que hayas generado (la contraseña root_password_sha2 ).
Si tienes el usuario y la contraseña correctos, aparecerá en tu navegador el panel de administración de Graylog.
Crear la primera entrada de Graylog
Tras iniciar sesión en el servidor Graylog, lo primero que debes hacer es crear nuevas entradas que se utilizarán como receptor de registros del sistema de monitorización de destino. Hay dos tipos de entradas Graylog, las entradas Listener y las entradas Pull.
Algunos ejemplos de entradas Listener son Syslog TCP/UDP, Beats TCP, GELF TCP, CEF TCP y Netflow TCP. Algunos ejemplos de entradas Pull son CEF AMQP y Kafka, Raw/Plaintext AMQP y Kafka, y Syslog AMQP y Kafka.
En la siguiente sección, crearás la primera entrada Graylog utilizando Syslog UDP.
Haz clic en el menú Sistema y selecciona Entradas.
Selecciona el tipo de entrada que deseas crear en el menú desplegable y haz clic en Lanzar nueva entrada. En este caso, crearemos una entrada de tipo Syslog UDP.
Escribe el nombre de la entrada, la dirección IP interna y el puerto donde se ejecutará la nueva entrada. En este caso, crearemos una entrada Syslog UDP graylog-alma que se ejecutará en una dirección IP interna 0.0.0.0 con el puerto 5142.
A continuación, desplázate hasta la página inferior y deberías ver la nueva entrada graylog-alma con el estado en ejecución.
Por último, vuelve al servidor terminal y ejecuta el comando firewall-cmd que aparece a continuación para abrir el puerto 5142 que utilizará la entrada graylog-alma.
sudo firewall-cmd --add-port=5142/udp --permanent sudo firewall-cmd --reload
Comprueba la lista de puertos abiertos en firewalld utilizando el siguiente comando. Asegúrate de que el puerto 5142 está disponible en firewalld.
sudo firewall-cmd --list-all
Envío del registro a Graylog mediante Rsyslog
Tras crear la entrada Syslog UDP en el servidor Graylog, ahora puedes enviar mensajes de registro al servidor Graylog. En la siguiente sección, enviarás logs desde una máquina Linux al servidor Graylog utilizando Rsyslog.
Crea una nueva configuración adicional rsyslog /etc/rsyslog.d/graylog.conf utilizando el siguiente comando del editor nano.
sudo nano /etc/rsyslog.d/graylog.conf
Inserta la siguiente configuración y asegúrate de cambiar la dirección IP y el puerto con los datos de entrada graylog-alma.
*.*@192.168.10.20:5142;RSYSLOG_SyslogProtocol23Format
Guarda y sal del archivo cuando hayas terminado.
Ahora ejecuta el siguiente comando systemctl para reiniciar el servicio Rsyslog y aplicar los cambios. Una vez reiniciado Rsyslog, la máquina de destino enviará los registros al servidor Graylog mediante el protocolo syslog a la entrada graylog-alma.
sudo systemctl restart rsyslog
A continuación, vuelve al panel de administración de Graylog y haz clic en el menú Stream. Si la instalación se ha realizado correctamente, deberías ver los registros detallados de la máquina de destino disponibles en el servidor Graylog.
Conclusión
Enhorabuena, ¡has completado la instalación de Graylog como sistema centralizado de gestión de registros en tu sistema AlmaLinux 9! Has instalado Graylog con MongoDB y Opensearch y también has configurado la primera entrada de Graylog a través de Syslog UDP. Ahora puedes explorar diferentes tipos de entradas Graylog o configurar el despliegue de Graylog con múltiples servidores.