graylog-logo

Graylog V2: Colector de logs

Graylog al igual que ELK o splunk es un colector de logs es decir, indicas a varios host que manden sus logs a esta máquina para luego poder gestionarlos (filtrarlos, indexarlos, monitorizarlos…). Se pueden crear alertas, streams, dashboards personalizados, conectarse con LDAP… También hay plugins en el market para poder añadir nuevas funcionalidades.

Instalación

Para la instalación se van a usar los siguientes paquetes sobre un Debian Stretch

Elasticsearch (5.6.3)
Mongodb (3.2.11)
OpenJDK (8)
Graylog-server (2.3.1)

Server

Prerequisitos

Instalar todos los paquetes necesarios

OpenJDK

Instalar la versión 8 de OpenJDK

Memoria core

Subir la memoria del core para evitar problemas de buffer

Añadir:

NTP

Elasticsearch

Para empezar, hay que instalar elasticsearch. Se puede instalar tanto de repositorios, añadiéndolos previamente o descargando el .deb o .tar.gz desde su página web. Si se actualiza la versión cambiar el repositorio.

Añadir los repositorios

Añadir la clave pública

Actualizar repositorios

Instalar elasticsearch

Una vez instalado hay que configurarlo

Descomentar modificar

Si se quiere cambiar el máximo de memoria de Java de elasticsearch, hay que editar el siguiente fichero:

Agregar elasticsearch a init.d

Comprobar que todo está correcto. El status tiene que estar en green, sino es que algo falla (puede tardar un poco en inciciar elasticsearch)

MongoDB

Instalar MongoDB

Cambiar los ulimit

Reiniciar

Graylog

Descargar el instalador de repositorios

Ejecutar el instalado

Actualizar los repositorios

Instalar graylog

Editar el archivo de configuración

Si se quiere cambiar el máximo de memoria de Java de graylog, hay que editar el siguiente fichero:

Para que graylog se inicie automáticamente ejecutar los siguientes comandos:

Server

Ir al navegador y escribir en la barra de direcciones

inicio
Usuario por defecto “admin” y la contraseña es la que se haya definido en el archivo de configuración de graylog-server campo “root_password_sha2

Host

Hay varias formas de mandar logs desde un host al server. La mas recomendable es con el agente, explicado aquí. La otra es con rsyslog que sería del siguiente modo:

En el host instalar rsyslog si no estuviera instalado

Y editar el archivo

Por último, reiniciar el servicio

5 comments

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *