Graylog: tips

Siguiendo esta corriente de graylog, voy a aprovechar este post para ir poniendo plugins o trucos interesantes para utilizar con graylog

Log interno

Graylog es capaz de recoger mediante un input sus logs sin necesidad de tener que utilizar herramientas como rsyslog o agentes. De este modo evitamos tener que utilizar servicios adicionales. La forma de instalar esto es mediante un plugin.

Para instalar el plugin solo hay que ir a la carpeta donde estén los plugins y descargar el que necesitamos. En esta versión se usa el 2.3.0 pero aquí están las demás

Una vez hecho esto, solo queda reiniciar el servicio

Ahora solo queda crear el input. Para eso vamos a “System –> Inputs”

Y crear el input

También se puede seleccionar el nivel de log que se quiere

Auditar usuarios

Graylog tiene la opción de poder auditar el acceso de los usuarios como un access log. Para esto hay que configurar el archivo log4j2.xml

En el apartado Appenders añadir lo siguiente:

Y en el apartado Loggers añadir lo siguiente:

Y por último reiniciar graylog

Ya empezará a loggear los accesos. Para verlos hay que ir al siguiente archivo:

 

Geolocalización

Graylog trae una opción muy interesante que es geolocalizar IPs para luego poder crear mapas con las ubicaciones. Para esto, hay que utilizar una base de datos de geoLite2. Para esto hay que descargarla y indicar a graylog donde está.

Descargar la Base de datos. En este caso la dejaremos en el directorio de plugins

Desempaquetar la db

Y moverla fuera del directorio

Para dejar todo limpio, borrar el directorio creado y el tar.gz

Ahora hay que ir al graylog y configurar la ubicación de la base de datos. Para esto “System –> Configuration” y seleccionar update

Y comprobar que está habilitado.

Ahora ya se podrían crear mapas en los inputs o streams

De momento estos son todos los trucos, en un futuro iré añadiendo mas.

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *