Cómo monitorizar archivos de registro con Graylog v3.1 en Debian

Graylog es una herramienta de gestión de registros gratuita y de código abierto basada en Java, ElasticSearch y MongoDB. Graylog puede utilizarse para recopilar, indexar y analizar cualquier registro de servidor desde una ubicación centralizada o distribuida. Podemos controlar fácilmente cualquier actividad inusual para depurar aplicaciones y registros utilizando Graylog. Graylog proporciona un potente lenguaje de consulta, capacidades de alerta, un canal de procesamiento para la transformación de datos y mucho más. También podemos ampliar la funcionalidad de Graylog mediante una API REST y complementos.

En este momento aún no existe una guía oficial de Graylog v3.1 en Debian 10.

La instalación de Graylog v3.1 en Debian 10 consta de 9 pasos:

  • Paso 1 : Actualiza los sistemas con los repositorios de Debian Backport
  • Paso 2 : Instalar algún ayudante
  • Paso 3: Instalar el tiempo de ejecución de JAVA v11.00 headless
  • Paso 4 : Instalar MongoDB v4.2, una base de datos para almacenar las configuraciones y la metainformación.
  • Paso 5 : Instala Elasticsearch-OSS 6.x: Almacena todos los mensajes entrantes y proporciona una función de búsqueda.
  • Paso 6 : Instala Graylog v3.1: recibe y registra varias entradas y proporciona una interfaz web para el análisis y la supervisión.
  • Paso 7 : Configura Graylog
  • Paso 8 : Probar Graylog
  • Paso 9 : Iniciar sesión en Graylog

Requisitos previos

  • Un mínimo de Debian 10. Podemos consultar este tutorial.
  • Mínimo 4 GB de RAM, CPU de 2 núcleos y discos de 20 GB.
  • Contraseña por defecto : KataLaluan
  • Secreto por defecto : SecretRahsiaSecreta
  • acceso root utilizando«su«, Debian ha cambiado recientemente el comportamiento del comando su. ahora el comando‘su‘ no sustituye a PATH. utiliza«su –» en su lugar.

Paso 1: Actualizar los sistemas con la adaptación de Debian

Configura el sistema para que utilice el repositorio de retroadaptaciones de Debian

cat > /etc/apt/sources.list << EOF
deb http://ftp.debian.org/debian/ buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb http://ftp.debian.org/debian/ buster-updates main contrib non-free
deb http://ftp.debian.org/debian buster-backports main contrib non-free
EOF
apt -y update
apt -y dist-upgrade

Paso 2: Instalar headless Java runtime v11.00

Graylog y Elasticsearch son aplicaciones basadas en Java. Por lo tanto, necesitaremos instalar Java en tu sistema. Por defecto, la última versión de Java está disponible en el repositorio por defecto de Debian 10. Podemos instalarla simplemente ejecutando el siguiente comando:

apt -y install apt-transport-https default-jdk

Paso 3 – Instalar algún ayudante

Necesitamos instalar algunas herramientas útiles como ayuda en el proceso:

  • GnuPG – una implementación del estándar OpenPGP, para ayudar en el sistema de gestión de claves
  • wget – una herramienta para recuperar archivos utilizando HTTP, HTTPS y FTP, los protocolos de Internet más utilizados
apt -y install gnupg wget

Paso 4 – Instalar MongoDB v4.2

Por defecto, MongoDB no está disponible en el repositorio por defecto de Debian 10. Así que tenemos que añadir el repositorio de MongoDB al sistema:

apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 4B7C549A058F8B6B
echo "deb http://repo.mongodb.org/apt/debian buster/mongodb-org/4.2 main" | tee /etc/apt/sources.list.d/latest-mongodb.list
apt -y update
apt install -y mongodb-org

Habilitar y reiniciar los servicios de MongoDB:

systemctl enable mongod.service
systemctl start mongod.service

Paso 5 : Instalar Elasticsearch-OSS 6.x

Eneste momento, Graylog v3.1 aún no escompatible con Elasticsearch-OSS 7.x

Vamos a añadir la clave y el repositorio de Elasticsearch a Debian. Con el repositorio de Elasticsearch proporcionado por elastic.co, podemos instalar Elasticsearch ejecutando el siguiente comando:

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add -
echo "deb https://artifacts.elastic.co/packages/oss-6.x/apt stable main" | tee -a /etc/apt/sources.list.d/latest-elastic-6.x.list
apt -y update
apt -y install elasticsearch-oss

Configurar Elasticsearch para el nombre del clúster

sed -i "s/#cluster.name: my-application/cluster.name: graylog-application/g" /etc/elasticsearch/elasticsearch.yml

Habilita y reinicia los servicios de Elasticsearch:

systemctl enable elasticsearch.service
systemctl start elasticsearch.service

Paso 6 : Instalar Graylog v3.1

Vamos a descargar un paquete sencillo de Graylog que ayuda a añadir la clave de Graylog y a configurar elrepositorio de Graylog

cd /tmp/
wget https://packages.graylog2.org/repo/packages/graylog-3.1-repository_latest.deb
dpkg -i graylog-3.1-repository_latest.deb
apt -y update

Instala Graylog ejecutando el siguiente comando:

apt -y install graylog-server

Paso 7 : Configurar Graylog

Haz un hash de la clave, y copia el hash. «KataLaluan» es la contraseña seleccionada actualmente.

echo 'KataLaluan' | tr -d '\n' | sha256sum | cut -d" " -f1

Añade la contraseña hash en el archivo de configuración de Graylog

sed -i "s/^root_password_sha2 =\$/root_password_sha2 = a25d2f6605c9e27f182d39b66a8b527eb7f2360e52b2ccc7614f8ac24e472bef/g" /etc/graylog/server/server.conf

Añade el secreto en el archivo de configuración de Graylog, Su longitud mínima es de 16 caracteres.

sed -i "s/^password_secret =\$/password_secret = SecretRahsiaSecreta/g" /etc/graylog/server/server.conf

Permitir el acceso externo a graylog

sed -i "s/^#http_bind_address = 127.0.0.1:9000/http_bind_address = 0.0.0.0:9000/g" /etc/graylog/server/server.conf

Cambia la zona horaria según la ubicación

sed -i "s/#root_timezone = UTC/root_timezone = Asia\/Kuala_Lumpur/g" /etc/graylog/server/server.conf

Habilita y reiniciaGraylog servicios:

systemctl enable graylog-server.service
systemctl start graylog-server.service

si el Graylog está detrás de un router, debemos establecer la dirección IP del router WAN en la configuración de Graylog. También pueden ser los registros A de un DNS que apunten a la misma dirección IP

sed -i '/http_publish_uri =/c\http_publish_uri = http://graylog.howtoforge.com:9000/' /etc/graylog/server/server.conf

Paso 8 : Probar Graylog

Vamos a probar el Graylog utilizando algunos comandos primitivos

apt -y install netcat curl

Aquí tienes un ejemplo de comando para registrar.

echo "Hello Graylog, let's be friends." | nc -w 1 -u 127.0.0.1 9099

Aquí tienes un ejemplo de comando para obtener el estado de la API del servidor Graylog.

curl -X GET http://localhost:9200
curl -XGET 'http://localhost:9200/_cluster/health?pretty=true'

Este es un ejemplo de comando para obtener el registro del servidor Graylog.

tail -f /var/log/graylog-server/server.log

Paso 9 : Iniciar sesión en Graylog

Vamos a utilizar la WebGUI. la URL puede ser:

  • http://<Dirección_IP_local>:9000/
  • http://<Dirección_IP_pública>:9000/
  • http://<Registro_A>:9000/

Ejemplo de URL

  • http://192.168.0.3:9000/
  • http://104.26.2.165:9000/
  • http://graylog.howtoforge:9000/

Después de introducir la URL en un navegador, deberíamos ver la siguiente página de inicio de sesión, el nombre de usuario por defecto es admin, y la contraseña seleccionada es KataLaluan,

Después de iniciar sesión, deberíamos ver la siguiente página Graylog:

Conclusión

Listo, hemos instalado y configurado correctamente el servidor Graylog 3.1 en Debian 10. Ahora podemos ver fácilmente los registros y análisis de los registros del sistema en la ubicación central. Obtén más información en la página de documentación de Graylog. Por favor, comenta y opina si tienes alguna pregunta.

También te podría gustar...