Graylog, una eina per a l'administració i anàlisi de registres

graylog1

Graylog és una plataforma poderosa que permet una fàcil gestió de registres de dades estructurades i no estructurades juntament amb aplicacions de depuració. Es basa en Elasticsearch, MongoDB i Scala.

Disposa d'un servidor principal, que rep dades dels seus clients instal·lats en diferents servidors, i una interfície web, que visualitza les dades i permet treballar amb registres agregats pel servidor principal.

sobre Graylog

graylog és efectiu quan es treballa amb cadenes en brut (és a dir, syslog): l'eina ho analitza en les dades estructurats que necessitem.

També permet la recerca personalitzada avançada en els registres utilitzant consultes estructurades.

En altres paraules, quan s'integra correctament amb una aplicació web, Graylog ajuda als enginyers a analitzar el comportament de sistema gairebé per línia de codi.

El principal avantatge d'Graylog és que proporciona una única instància perfecta de recopilació de registres per a tot el sistema.

Això és útil si la infraestructura de el sistema és gran i complexa. Podria distribuir-se en múltiples llocs i no tots els membres de l'equip podrien tenir accés immediat a tots els seus components.

Amb Graylog, abordem aquests problemes i assegurem que el nostre temps de resposta a incidents sigui ràpid.

En Logicify, es pot utilitzar tant per a les aplicacions en desenvolupament com per a les que ja s'han llançat públicament. En ambdós casos, algunes maneres d'aplicació de Graylog són únics, mentre que altres es creuen.

Instal·lació de Graylog

Aquesta eina pot ser trobada dins de la majoria de les distribucions de Linux, però cal fer algunes configuracions prèvies a la seva instal·lació.

En el cas dels que són usuaris de Debian, Ubuntu i derivats deuen fer el següent.

Anem obrir una terminal i en ella anem a teclejar les ordres següents:

sudo apt install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen

Després de configurar els paquets bàsics, han de configurar el sistema MongoDB amb:

sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 2930ADAE8CAF5059EE73BB4B58712A2291FA4AD5
echo "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.6 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.6.list
sudo apt update
sudo apt install -y mongodb-org

Després de la instal·lació de MongoDB, iniciïn la base de dades amb:

sudo systemctl daemon-reload
sudo systemctl enable mongod.service
sudo systemctl restart mongod.service

Seguint a MongoDB, has d'instal·lar l'eina Elasticsearch, ja que Graylog la fa servir com backend.

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list
sudo apt update && sudo apt install elasticsearch

Modifiquin l'arxiu YML de Elasticsearch amb:

sudo nano /etc/elasticsearch/elasticsearch.yml

Ara han de cercar la següent línia:

#cluster.name: graylog

I treure la # d'aquest, guarden i tanquen nano i teclegen a la terminal:

sudo systemctl daemon-reload

sudo systemctl enable elasticsearch.service
sudo systemctl restart elasticsearch.service

Ara que Elasticsearch i MongoDB estan configurats, podem descarregar Graylog i instal al Ubuntu.

graylog

Per a la seva instal·lació deuen teclejar el següent:

wget https://packages.graylog2.org/repo/packages/graylog-2.4-repository_latest.deb
sudo dpkg -i graylog-2.4-repository_latest.deb
sudo apt-get update && sudo apt-get install graylog-server

Usant l'eina pwgen, generen una clau secreta.

pwgen -N 1 -s 96

Fet això han de copiar el que els mostri la terminal i després editar el fitxer server.conf i van a reemplaçar la part d ' «password_secret» amb el que els llanço la comanda anterior:

sudo nano /etc/graylog/server/server.conf

Després a la part de "contrasenya" en la següent comanda, han de col·locar la contrasenya de root:

echo -n "contraseña " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1

Un cop més, copiïn la sortida que els mostri la terminal i obrin l'arxiu server.conf en Nano. I peguin la sortida de la contrasenya després de «root_password_sha2».

Ara han d'establir l'adreça web per defecte.

En el mateix arxiu han de buscar la línia que contingui «rest_listen_uri» i «web_listen_uri». Ja ubicats han d'esborrar els valors predeterminats i canviar-los per la seva adreça de ip, alguna cosa similar a això:

rest_listen_uri =http://ip:12900/
web_listen_uri =http://ip:9000/

A la fin guardin l'arxiu i surtin de nano, posterior a això han de teclejar:

sudo systemctl daemon-reload
sudo systemctl restart graylog-server

I ja amb això podran entrar des d'un navegador web teclejant l'adreça ip que vostès tenen.


Sigues el primer a comentar

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.