Graylog, una herramienta para la administración y análisis de registros

Darkcrizt

4 minutos

graylog1

Graylog es una plataforma poderosa que permite una fácil gestión de registros de datos estructurados y no estructurados junto con aplicaciones de depuración. Se basa en Elasticsearch, MongoDB y Scala.

Cuenta con un servidor principal, que recibe datos de sus clientes instalados en diferentes servidores, y una interfaz web, que visualiza los datos y permite trabajar con registros agregados por el servidor principal.

Sobre Graylog

Graylog es efectivo cuando se trabaja con cadenas en bruto (es decir, syslog): la herramienta lo analiza en los datos estructurados que necesitamos.

También permite la búsqueda personalizada avanzada en los registros utilizando consultas estructuradas.

En otras palabras, cuando se integra correctamente con una aplicación web, Graylog ayuda a los ingenieros a analizar el comportamiento del sistema casi por línea de código.

La principal ventaja de Graylog es que proporciona una única instancia perfecta de recopilación de registros para todo el sistema.

Esto es útil si la infraestructura del sistema es grande y compleja. Podría distribuirse en múltiples lugares y no todos los miembros del equipo podrían tener acceso inmediato a todos sus componentes.

Con Graylog, abordamos estos problemas y aseguramos que nuestro tiempo de respuesta a incidentes sea rápido.

En Logicify, se puede utilizar tanto para las aplicaciones en desarrollo como para las que ya se han lanzado públicamente. En ambos casos, algunos modos de aplicación de Graylog son únicos, mientras que otros se cruzan.

Instalación de Graylog

Esta herramienta puede ser encontrada dentro de la mayoría de las distribuciones de Linux, pero es necesario realizar algunas configuraciones previas a su instalación.

En el caso de los que son usuarios de Debian, Ubuntu y derivados deben de realizar lo siguiente.

Vamos abrir una terminal y en ella vamos a teclear los siguientes comandos:

sudo apt install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen

Después de configurar los paquetes básicos, deben de configurar el sistema MongoDB con:

sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 2930ADAE8CAF5059EE73BB4B58712A2291FA4AD5
echo "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.6 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.6.list
sudo apt update
sudo apt install -y mongodb-org

Tras la instalación de MongoDB, inicien la base de datos con:

sudo systemctl daemon-reload
sudo systemctl enable mongod.service
sudo systemctl restart mongod.service

Siguiendo a MongoDB, debes instalar la herramienta Elasticsearch, ya que Graylog la usa como backend.

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list
sudo apt update && sudo apt install elasticsearch

Modifiquen el archivo YML de Elasticsearch con:

sudo nano /etc/elasticsearch/elasticsearch.yml

Ahora deben de buscar la siguiente línea:

#cluster.name: graylog

Y quitar la # de este, guardan y cierran nano y teclean en la terminal:

sudo systemctl daemon-reload

sudo systemctl enable elasticsearch.service
sudo systemctl restart elasticsearch.service

Ahora que Elasticsearch y MongoDB están configurados, podemos descargar Graylog e instalarlo en Ubuntu.

Graylog

Para su instalación deben de teclear lo siguiente:

wget https://packages.graylog2.org/repo/packages/graylog-2.4-repository_latest.deb
sudo dpkg -i graylog-2.4-repository_latest.deb
sudo apt-get update && sudo apt-get install graylog-server

Usando la herramienta pwgen , generan una clave secreta.

pwgen -N 1 -s 96

Hecho esto deben de copiar lo que les muestre la terminal y después editar el archivo server.conf y van a reemplazar la parte de «password_secret» con lo que les arrojo el comando anterior:

sudo nano /etc/graylog/server/server.conf

Después en la parte de “contraseña » en el siguiente comando, deben de colocar su contraseña de root:

echo -n "contraseña " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1

Una vez más, copien la salida que les muestre la terminal y abran el archivo server.conf en Nano. Y peguen la salida de la contraseña después de «root_password_sha2».

Ahora deben de establecer la dirección web predeterminada.

En el mismo archivo deben de buscar la línea que contenga «rest_listen_uri» y «web_listen_uri». Ya ubicados deben de borrar los valores predeterminados y cambiarlos por su dirección de ip, algo similar a esto:

rest_listen_uri =http://ip:12900/
web_listen_uri =http://ip:9000/

Al final guarden el archivo y salgan de nano, posterior a esto deben de teclear:

sudo systemctl daemon-reload
sudo systemctl restart graylog-server

Y ya con ello podrán entrar desde un navegador web tecleando la dirección ip que ustedes tienen.


Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.