Graylog, una herramienta para la administración y análisis de registros
Graylog es una plataforma poderosa que permite una fácil gestión de registros de datos estructurados y no estructurados junto con aplicaciones de depuración. Se basa en Elasticsearch, MongoDB y Scala.
Cuenta con un servidor principal, que recibe datos de sus clientes instalados en diferentes servidores, y una interfaz web, que visualiza los datos y permite trabajar con registros agregados por el servidor principal.
Sobre Graylog
Graylog es efectivo cuando se trabaja con cadenas en bruto (es decir, syslog): la herramienta lo analiza en los datos estructurados que necesitamos.
También permite la búsqueda personalizada avanzada en los registros utilizando consultas estructuradas.
En otras palabras, cuando se integra correctamente con una aplicación web, Graylog ayuda a los ingenieros a analizar el comportamiento del sistema casi por línea de código.
La principal ventaja de Graylog es que proporciona una única instancia perfecta de recopilación de registros para todo el sistema.
Esto es útil si la infraestructura del sistema es grande y compleja. Podría distribuirse en múltiples lugares y no todos los miembros del equipo podrían tener acceso inmediato a todos sus componentes.
Con Graylog, abordamos estos problemas y aseguramos que nuestro tiempo de respuesta a incidentes sea rápido.
En Logicify, se puede utilizar tanto para las aplicaciones en desarrollo como para las que ya se han lanzado públicamente. En ambos casos, algunos modos de aplicación de Graylog son únicos, mientras que otros se cruzan.
Instalación de Graylog
Esta herramienta puede ser encontrada dentro de la mayoría de las distribuciones de Linux, pero es necesario realizar algunas configuraciones previas a su instalación.
En el caso de los que son usuarios de Debian, Ubuntu y derivados deben de realizar lo siguiente.
Vamos abrir una terminal y en ella vamos a teclear los siguientes comandos:
sudo apt install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen
Después de configurar los paquetes básicos, deben de configurar el sistema MongoDB con:
sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 2930ADAE8CAF5059EE73BB4B58712A2291FA4AD5
echo "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.6 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.6.list
sudo apt update
sudo apt install -y mongodb-org
Tras la instalación de MongoDB, inicien la base de datos con:
sudo systemctl daemon-reload
sudo systemctl enable mongod.service
sudo systemctl restart mongod.service
Siguiendo a MongoDB, debes instalar la herramienta Elasticsearch, ya que Graylog la usa como backend.
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list
sudo apt update && sudo apt install elasticsearch
Modifiquen el archivo YML de Elasticsearch con:
sudo nano /etc/elasticsearch/elasticsearch.yml
Ahora deben de buscar la siguiente línea:
#cluster.name: graylog
Y quitar la # de este, guardan y cierran nano y teclean en la terminal:
sudo systemctl daemon-reload
sudo systemctl enable elasticsearch.service
sudo systemctl restart elasticsearch.service
Ahora que Elasticsearch y MongoDB están configurados, podemos descargar Graylog e instalarlo en Ubuntu.
Para su instalación deben de teclear lo siguiente:
wget https://packages.graylog2.org/repo/packages/graylog-2.4-repository_latest.deb
sudo dpkg -i graylog-2.4-repository_latest.deb
sudo apt-get update && sudo apt-get install graylog-server
Usando la herramienta pwgen , generan una clave secreta.
pwgen -N 1 -s 96
Hecho esto deben de copiar lo que les muestre la terminal y después editar el archivo server.conf y van a reemplazar la parte de “password_secret” con lo que les arrojo el comando anterior:
sudo nano /etc/graylog/server/server.conf
Después en la parte de “contraseña ” en el siguiente comando, deben de colocar su contraseña de root:
echo -n "contraseña " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1
Una vez más, copien la salida que les muestre la terminal y abran el archivo server.conf en Nano. Y peguen la salida de la contraseña después de “root_password_sha2”.
Ahora deben de establecer la dirección web predeterminada.
En el mismo archivo deben de buscar la línea que contenga “rest_listen_uri” y “web_listen_uri”. Ya ubicados deben de borrar los valores predeterminados y cambiarlos por su dirección de ip, algo similar a esto:
rest_listen_uri =http://ip:12900/
web_listen_uri =http://ip:9000/
Al final guarden el archivo y salgan de nano, posterior a esto deben de teclear:
sudo systemctl daemon-reload
sudo systemctl restart graylog-server
Y ya con ello podrán entrar desde un navegador web tecleando la dirección ip que ustedes tienen.
El artículo Graylog, una herramienta para la administración y análisis de registros aparece primero en Graylog, una herramienta para la administración y análisis de registros.