Graylog é uma plataforma poderosa que permite fácil gerenciamento de registros de dados estruturados e não estruturados junto com aplicativos de depuração. É baseado em Elasticsearch, MongoDB e Scala.
Possui um servidor principal, que recebe dados de seus clientes instalados em diversos servidores, e uma interface web, que exibe os dados e permite trabalhar com os registros adicionados pelo servidor principal.
Sobre Graylog
graylog é eficaz ao trabalhar com strings brutas (ou seja, syslog) - a ferramenta os analisa nos dados estruturados de que precisamos.
Ele também permite a pesquisa personalizada avançada em registros usando consultas estruturadas.
Em outras palavras, quando devidamente integrado com um aplicativo da web, Graylog ajuda os engenheiros a analisar o comportamento do sistema quase por linha de código.
A principal vantagem do Graylog é que ele fornece uma instância única e perfeita de coleta de logs para todo o sistema.
Isso é útil se a infraestrutura do sistema for grande e complexa. Ele pode ser distribuído em vários locais e nem todos os membros da equipe podem ter acesso imediato a todos os seus componentes.
Com o Graylog, resolvemos esses problemas e garantimos que nosso tempo de resposta a incidentes seja rápido.
No Logicify, ele pode ser usado para aplicativos em desenvolvimento e aqueles que já foram lançados publicamente. Em ambos os casos, alguns modos de aplicativo Graylog são exclusivos, enquanto outros se cruzam.
Instalação Graylog
Esta ferramenta pode ser encontrada na maioria das distribuições Linux, mas é necessário realizar algumas configurações antes de sua instalação.
No caso daqueles que são Debian, Ubuntu e usuários derivados, eles devem fazer o seguinte.
Vamos abrir um terminal e nele digitaremos os seguintes comandos:
sudo apt install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen
Depois de configurar os pacotes básicos, eles devem configurar o sistema MongoDB com:
sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 2930ADAE8CAF5059EE73BB4B58712A2291FA4AD5
echo "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.6 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.6.list
sudo apt update
sudo apt install -y mongodb-org
Depois de instalar o MongoDB, inicie o banco de dados com:
sudo systemctl daemon-reload
sudo systemctl enable mongod.service
sudo systemctl restart mongod.service
Seguindo o MongoDB, você deve instalar a ferramenta Elasticsearch, já que Graylog a usa como back-end.
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list
sudo apt update && sudo apt install elasticsearch
Modifique o arquivo YML Elasticsearch com:
sudo nano /etc/elasticsearch/elasticsearch.yml
Agora eles devem procurar a seguinte linha:
#cluster.name: graylog
E remova o # dele, salve e feche o nano e digite no terminal:
sudo systemctl daemon-reload
sudo systemctl enable elasticsearch.service
sudo systemctl restart elasticsearch.service
Agora que Elasticsearch e MongoDB estão configurados, podemos baixar o Graylog e instalá-lo no Ubuntu.
Para instalá-lo, você deve digitar o seguinte:
wget https://packages.graylog2.org/repo/packages/graylog-2.4-repository_latest.deb
sudo dpkg -i graylog-2.4-repository_latest.deb
sudo apt-get update && sudo apt-get install graylog-server
Usando a ferramenta pwgen, eles geram uma chave secreta.
pwgen -N 1 -s 96
Feito isso, eles devem copiar o que o terminal mostra a eles e, em seguida, editar o arquivo server.conf e eles irão substituir a parte de "password_secret" com o que o comando anterior lhes deu:
sudo nano /etc/graylog/server/server.conf
Então, na parte "senha" do seguinte comando, você deve colocar sua senha root:
echo -n "contraseña " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1
Mais uma vez, copie a saída que o terminal mostra e abra o arquivo server.conf no Nano. E cole a saída da senha após "root_password_sha2".
Agora eles devem definir o endereço da web padrão.
No mesmo arquivo, eles devem procurar a linha que contém "rest_listen_uri" e "web_listen_uri". Uma vez localizados, eles devem excluir os valores padrão e alterá-los para seus endereços IP, algo semelhante a este:
rest_listen_uri =http://ip:12900/
web_listen_uri =http://ip:9000/
Ao final salve o arquivo e saia do nano, após digitar:
sudo systemctl daemon-reload
sudo systemctl restart graylog-server
E com isso você pode entrar em um navegador da web, digitando o endereço IP que você possui.