Siguiendo esta corriente de graylog, voy a aprovechar este post para ir poniendo plugins o trucos interesantes para utilizar con graylog
Log interno
Graylog es capaz de recoger mediante un input sus logs sin necesidad de tener que utilizar herramientas como rsyslog o agentes. De este modo evitamos tener que utilizar servicios adicionales. La forma de instalar esto es mediante un plugin.
Para instalar el plugin solo hay que ir a la carpeta donde estén los plugins y descargar el que necesitamos. En esta versión se usa el 2.3.0 pero aquí están las demás
cd /usr/share/graylog-server/plugin && wget https://github.com/graylog-labs/graylog-plugin-internal-logs/releases/download/2.3.0/graylog-plugin-internal-logs-2.3.0.jar
Una vez hecho esto, solo queda reiniciar el servicio
systemctl restart graylog-server
Ahora solo queda crear el input. Para eso vamos a “System –> Inputs”
Y crear el input
También se puede seleccionar el nivel de log que se quiere
Auditar usuarios
Graylog tiene la opción de poder auditar el acceso de los usuarios como un access log. Para esto hay que configurar el archivo log4j2.xml
vim /etc/graylog/server/log4j2.xml
En el apartado Appenders añadir lo siguiente:
<File name="RestAccessLog" fileName="/var/log/graylog-server/restaccess.log" append="true">
<PatternLayout pattern="%d %-5p: %c - %m%n"/>
</File>
Y en el apartado Loggers añadir lo siguiente:
<Logger name="org.graylog2.rest.accesslog" level="debug" additivity="false"> <AppenderRef ref="RestAccessLog" level="debug"/> <AppenderRef ref="STDOUT" level="info"/> </Logger>
Y por último reiniciar graylog
systemctl restart graylog-server
Ya empezará a loggear los accesos. Para verlos hay que ir al siguiente archivo:
/var/log/graylog-server/restaccess.log
Geolocalización
Graylog trae una opción muy interesante que es geolocalizar IPs para luego poder crear mapas con las ubicaciones. Para esto, hay que utilizar una base de datos de geoLite2. Para esto hay que descargarla y indicar a graylog donde está.
Descargar la Base de datos. En este caso la dejaremos en el directorio de plugins
cd /usr/share/graylog-server/plugin && wget http://geolite.maxmind.com/download/geoip/database/GeoLite2-City.tar.gz
Desempaquetar la db
tar -zxvf GeoLite2-City.tar.gz
Y moverla fuera del directorio
mv GeoLite2-City_*/GeoLite2-City.mmdb .
Para dejar todo limpio, borrar el directorio creado y el tar.gz
rm -fr GeoLite2-City_* GeoLite2-City.tar.gz
Ahora hay que ir al graylog y configurar la ubicación de la base de datos. Para esto “System –> Configuration” y seleccionar update
Y comprobar que está habilitado.
Ahora ya se podrían crear mapas en los inputs o streams
De momento estos son todos los trucos, en un futuro iré añadiendo mas.