Graylog: tips

Siguiendo esta corriente de graylog, voy a aprovechar este post para ir poniendo plugins o trucos interesantes para utilizar con graylog

Log interno

Graylog es capaz de recoger mediante un input sus logs sin necesidad de tener que utilizar herramientas como rsyslog o agentes. De este modo evitamos tener que utilizar servicios adicionales. La forma de instalar esto es mediante un plugin.

Para instalar el plugin solo hay que ir a la carpeta donde estén los plugins y descargar el que necesitamos. En esta versión se usa el 2.3.0 pero aquí están las demás

cd /usr/share/graylog-server/plugin && wget https://github.com/graylog-labs/graylog-plugin-internal-logs/releases/download/2.3.0/graylog-plugin-internal-logs-2.3.0.jar

Una vez hecho esto, solo queda reiniciar el servicio

systemctl restart graylog-server

Ahora solo queda crear el input. Para eso vamos a «System –> Inputs»

Y crear el input

También se puede seleccionar el nivel de log que se quiere

Auditar usuarios

Graylog tiene la opción de poder auditar el acceso de los usuarios como un access log. Para esto hay que configurar el archivo log4j2.xml

vim /etc/graylog/server/log4j2.xml

En el apartado Appenders añadir lo siguiente:

 <File name="RestAccessLog" fileName="/var/log/graylog-server/restaccess.log" append="true">
     <PatternLayout pattern="%d %-5p: %c - %m%n"/>
 </File>

Y en el apartado Loggers añadir lo siguiente:

 <Logger name="org.graylog2.rest.accesslog" level="debug" additivity="false">
     <AppenderRef ref="RestAccessLog" level="debug"/>
     <AppenderRef ref="STDOUT" level="info"/>
 </Logger>

Y por último reiniciar graylog

systemctl restart graylog-server

Ya empezará a loggear los accesos. Para verlos hay que ir al siguiente archivo:

/var/log/graylog-server/restaccess.log

 

Geolocalización

Graylog trae una opción muy interesante que es geolocalizar IPs para luego poder crear mapas con las ubicaciones. Para esto, hay que utilizar una base de datos de geoLite2. Para esto hay que descargarla y indicar a graylog donde está.

Descargar la Base de datos. En este caso la dejaremos en el directorio de plugins

cd /usr/share/graylog-server/plugin && wget http://geolite.maxmind.com/download/geoip/database/GeoLite2-City.tar.gz

Desempaquetar la db

tar -zxvf GeoLite2-City.tar.gz

Y moverla fuera del directorio

mv GeoLite2-City_*/GeoLite2-City.mmdb .

Para dejar todo limpio, borrar el directorio creado y el tar.gz

rm -fr GeoLite2-City_* GeoLite2-City.tar.gz

Ahora hay que ir al graylog y configurar la ubicación de la base de datos. Para esto «System –> Configuration» y seleccionar update

Y comprobar que está habilitado.

Ahora ya se podrían crear mapas en los inputs o streams

De momento estos son todos los trucos, en un futuro iré añadiendo mas.

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *