Cómo instalar Graylog en AlmaLinux 9

Graylog es una plataforma de gestión de registros gratuita y de código abierto para capturar, almacenar y habilitar el análisis en tiempo real de tus datos y registros. Está escrita en Java y se basa en otro software de código abierto como MongoDB y Elasticsearch. Graylog proporciona una de las plataformas de gestión de registros centralizados más eficientes, rápidas y flexibles. Con Graylog, puedes enviar y analizar tanto datos estructurados como no estructurados de casi cualquier fuente de datos.

En esta guía, revisaremos la instalación de Graylog como un Sistema de Gestión de Registros Centralizado en un servidor AlmaLinux 9. Instalarás el servidor Graylog y luego configurarás entradas para que los clientes envíen registros al servidor Graylog.

Requisitos previos

Para que puedas completar esta guía, asegúrate de tener lo siguiente:

• Un servidor AlmaLinux 9 con al menos 4 GB de memoria - En este caso, utilizaremos un servidor AlmaLinux con 8 GB de memoria y dirección IP 192.168.10.20.
• Un usuario no root con privilegios de administrador.

Configuración de Repositorios

Para comenzar esta guía, agregarás nuevos repositorios a tu máquina AlmaLinux 9. Agregarás el repositorio de MongoDB 6.x, Opensearch 2.x y el Graylog 5.x a tu sistema.

Primero, ejecuta el comando dnf a continuación para instalar curl en tu sistema.

sudo dnf install curl -y

Ahora copia y ejecuta el siguiente comando para agregar el repositorio de MongoDB. El servidor Graylog requiere al menos MongoDB v6.x.

cat <

A continuación, ejecuta el siguiente comando para agregar el repositorio de Opensearch. Opensearch es una alternativa a Elasticsearch, que se recomienda usar en la nueva versión de Graylog. En este caso, utilizaremos Opensearch v2.x.

sudo curl -SL https://artifacts.opensearch.org/releases/bundle/opensearch/2.x/opensearch-2.x.repo -o /etc/yum.repos.d/opensearch-2.x.repo

Ahora ejecuta el comando a continuación para agregar el repositorio de Graylog a tu sistema. En el momento de escribir esto, la última versión del servidor Graylog es v5.1.

sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-5.1-repository_latest.rpm

Por último, ejecuta el comando dnf a continuación para verificar los repositorios disponibles en tu servidor AlmaLinux.

sudo dnf repolist

Si es exitoso, deberías ver el repositorio de MongoDB 6.x, Opensearch 2.x y el servidor Graylog.

Instalación de Dependencias

Después de agregar los repositorios, instalarás MongoDB 6.x y Opensearch 2.x a través del gestor de paquetes DNF. MongoDB se utilizará para datos de cadena, y Opensearch será el motor de búsqueda principal para el servidor Graylog.

Ejecuta el comando dnf a continuación para instalar MongoDB y Opensearch. Ingresa y cuando se te pida confirmación, presiona ENTER.

sudo dnf install mongodb-org opensearch

Una vez que MongoDB y Opensearch estén instalados, ejecuta el comando systemctl a continuación para recargar el gestor systemd.

sudo systemctl daemon-reload

Luego, inicia y habilita el servicio de MongoDB usando el comando a continuación.

sudo systemctl start mongod  
sudo systemctl enable mongod

Inicia y habilita el servicio de Opensearch usando el comando a continuación.

sudo systemctl start opensearch  
sudo systemctl enable opensearch

Por último, ejecuta el comando a continuación para verificar el estado de ambos servicios MongoDB y Opensearch. Si están en ejecución, el estado del servicio debería ser activo (en ejecución).

sudo systemctl status mongod  
sudo systemctl status opensearch

Verificando el estado del servicio de MongoDB.

Verificando el estado del servicio de Opensearch.

Configurando Opensearch

Para el despliegue de Graylog, se recomienda usar Opensearch como el motor de búsqueda predeterminado. Una alternativa a Opensearch es Elasticsearch, pero solo admite la versión Elasticsearch v7.x. En la siguiente sección, configurarás Opensearch como el motor de búsqueda predeterminado para tu servidor Graylog.

Primero, abre la configuración predeterminada de Opensearch /etc/opensearch/opensearch.yml usando el siguiente comando del editor nano.

sudo nano /etc/opensearch/opensearch.yml

Descomenta el parámetro cluster.name e ingresa el nombre de tu clúster de Opensearch, node.name e ingresa el nombre de host de tu sistema, luego network.host e ingresa tu dirección IP interna. En este caso, el nombre del clúster será graylog con el nombre de host graylog-alma y dirección IP 192.168.10.20 (esto se ejecuta en una red local).

cluster.name: graylog  
node.name: graylog-alma  
network.host: 0.0.0.0

Agrega las siguientes líneas para configurar Opensearch como un solo nodo/servidor, deshabilitar auto_create_index y el plugin de seguridad (solo para fines de prueba).

discovery.type: single-node  
action.auto_create_index: false  
plugins.security.disabled: true

Guarda el archivo y sal del editor cuando termines.

Ahora, abre el archivo /etc/opensearch/jvm.options usando el editor nano para configurar la asignación máxima de memoria para el servicio de Opensearch.

sudo nano /etc/opensearch/jvm.options

Cambia la asignación de memoria predeterminada para tu instalación de Opensearch. En este caso, Opensearch debería estar ejecutándose con una memoria máxima de 2 GB.

-Xms2g  
-Xmx2g

Guarda el archivo y sal del editor después de terminar.

A continuación, abre el archivo /usr/lib/tmpfiles.d/opensearch.conf usando el siguiente comando del editor nano.

sudo nano /usr/lib/tmpfiles.d/opensearch.conf

Cambia la ruta predeterminada de /var/run/opensearch a /run/opensearch. Este directorio se utilizará para almacenar archivos adicionales relacionados con Opensearch y se creará automáticamente a través de esta configuración.

/run/opensearch

Guarda y cierra el archivo cuando termines.

Después de eso, ejecuta el siguiente comando para aumentar el vm.max_map_count a 262144. Esto es requerido por Opensearch, y para hacerlo permanente, agregarás un nuevo parámetro al archivo /etc/sysctl.conf.

sudo sysctl -w vm.max_map_count=262144  
sudo echo 'vm.max_map_count=262144' >> /etc/sysctl.conf

Ahora ejecuta el comando systemctl a continuación para reiniciar el servicio de Opensearch y aplicar los cambios que has realizado.

sudo systemctl restart opensearch

Opensearch debería estar ejecutándose en la dirección IP local de tu servidor, y en este caso, está ejecutándose en 192.168.10.20 con el puerto predeterminado 9200.

Ejecuta el comando curl a continuación para acceder a tu instalación de Opensearch.

curl 192.168.10.20:9200

Si la configuración de Opensearch es exitosa, deberías ver la información detallada sobre tu instalación de Opensearch como esta:

En este punto, Opensearch y MongoDB están listos. En la siguiente sección, comenzarás la instalación y configuración del servidor Graylog.

Instalación y Configuración del Servidor Graylog

En esta sección, instalarás el servidor Graylog v5.x en tu máquina AlmaLinux 9 y configurarás Graylog como gestión de registros centralizada para tu infraestructura.

Ejecuta el comando dnf a continuación para instalar el paquete graylog-server. Ingresa y para confirmar la instalación y presiona ENTER para continuar.

sudo dnf install graylog-server

Ingresa y nuevamente para agregar la clave GPG del repositorio de Graylog.

Una vez que el servidor Graylog esté instalado, ejecuta el siguiente comando para generar el password_secret para el servidor Graylog. Copia la cadena aleatoria que has generado.

< /dev/urandom tr -dc A-Z-a-z-0-9 | head -c${1:-96};echo;

Ahora ejecuta el siguiente comando para generar el root_password_sha2 para tu servidor graylog. Esta contraseña se utilizará para iniciar sesión en el panel de administración de Graylog.

echo -n "Ingrese Contraseña: " && head -1 

Ingresa tu contraseña y copia la contraseña hash generada.

En el siguiente ejemplo, JmGGtkruJ80LjnQBnz8QZ0gHjKpBZwWmH7JF0ZBa9iBS999bTlQfViaQj7jAH-XgIVcdVcDVYyy3x5Dh7fEXCPhbrSUXX1G1 es el password secret y 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8 es la generada root_password_sha2 para tu servidor Graylog.

A continuación, abre la configuración de Graylog /etc/graylog/server/server.conf usando el editor nano.

sudo nano /etc/graylog/server/server.conf

Ingresa el password secret generado al parámetro password_secret y cambia el predeterminado root_password_sha2 con la nueva contraseña que has generado.

password_secret = R8zwuO2NDewUcwRFQ0QDm07tn6AppmwThty0aagxOoqMDWNqPJLwrffpz7DdQyQVY1uHq54QwgYMNkZnBLuXQf3B1giq5RKX  
...  
root_password_sha2 = a7fdfe53e2a13cb602def10146388c65051c67e60ee55c051668a1c709449111

Descomenta el parámetro http_bind_address y cambia la dirección IP con tu dirección IP interna seguida del puerto predeterminado del servidor Graylog 9000.

http_bind_address = 192.168.10.20:9000

Guarda el archivo y cierra el editor.

Ahora ejecuta el comando systemctl a continuación para recargar el gestor systemd.

sudo systemctl daemon-reload

Luego inicia y habilita el servidor Graylog usando el comando a continuación.

sudo systemctl start graylog-server  
sudo systemctl enable graylog-server

Por último, verifica el estado del servidor Graylog usando el siguiente comando. Si Graylog está en ejecución, deberías obtener una salida activo (en ejecución) en tu terminal.

sudo systemctl status graylog-server

Además, también puedes verificar el servidor Graylog revisando la lista de puertos abiertos en tu sistema usando el comando ss a continuación.

ss -tulpn | grep 9000

Si es exitoso, deberías ver que el servidor Graylog está utilizando ese puerto 9000.

Configurando Firewalld y SELinux

Después de instalar y configurar el servidor Graylog, el siguiente paso será configurar el SELinux y firewalld. En este caso, el SELinux está funcionando en modo de aplicación y el firewalld está en ejecución.

Ejecuta el comando dnf a continuación para instalar herramientas de gestión de SELinux en tu servidor AlmaLinux. Ingresa y cuando se te pida, presiona ENTER para continuar.

sudo dnf install policycoreutils policycoreutils-python-utils

Ahora, ejecuta el siguiente comando para agregar algunas políticas de SELinux y permitir puertos para algunos servicios como el puerto del servidor Graylog 9000, el puerto de MongoDB 27017 y el puerto de Opensearch 9200.

sudo setsebool -P httpd_can_network_connect 1  
sudo semanage port -a -t http_port_t -p tcp 9000  
sudo semanage port -a -t http_port_t -p tcp 9200  
sudo semanage port -a -t mongod_port_t -p tcp 27017

A continuación, ejecuta el comando firewall-cmd a continuación para agregar el puerto del servidor Graylog 9000 al firewalld y recargar el firewalld para aplicar los cambios.

sudo firewall-cmd --add-port=9000/tcp --permanent  
sudo firewall-cmd --reload

Por último, ejecuta el siguiente comando para verificar la lista de reglas de firewalld de tu sistema. Asegúrate de que el puerto 9000 esté disponible en tu firewalld.

sudo firewall-cmd --list-all

Accediendo al Servidor Graylog

Con que has configurado exitosamente SELinux y firewalld, ahora puedes acceder a tu instalación del servidor Graylog.

Lanza tu navegador web preferido y visita la dirección IP de tu servidor AlmaLinux seguida del puerto 9000 (es decir: http://192.168.10.20:9000/). Si la instalación de graylog es exitosa, deberías ver la página de inicio de sesión de Graylog como la siguiente.

Inicia sesión con el usuario predeterminado admin y la contraseña que has generado (la contraseña root_password_sha2).

Si tienes el usuario y la contraseña correctos, el panel de administración de Graylog se mostrará en tu navegador.

Crear Primera Entrada de Graylog

Después de iniciar sesión en el servidor Graylog, lo primero que debes hacer es crear nuevas entradas que se utilizarán como receptor de registros del sistema de monitoreo objetivo. Hay dos tipos de entradas en Graylog, entradas de Listener y entradas de Pull.

Ejemplos de entradas de Listener son Syslog TCP/UDP, Beats TCP, GELF TCP, CEF TCP y Netflow TCP. Algunos ejemplos de entradas de Pull son CEF AMQP y Kafka, Raw/Plaintext AMQP y Kafka, y Syslog AMQP y Kafka.

En la siguiente sección, crearás la primera entrada de Graylog usando Syslog UDP.

Haz clic en el menú Sistema y selecciona Entradas.

Selecciona el tipo de entrada que deseas crear del menú desplegable y haz clic en Lanzar nueva entrada. En este caso, crearemos un tipo de entrada Syslog UDP.

Escribe el nombre de la entrada, la dirección IP interna y el puerto donde se ejecutará la nueva entrada. En este caso, crearemos una entrada Syslog UDP graylog-alma que se ejecutará en una dirección IP interna 0.0.0.0 con el puerto 5142.

A continuación, desplázate hacia abajo hasta la parte inferior de la página y deberías ver la nueva entrada graylog-alma con estado en ejecución.

Por último, vuelve al servidor terminal y ejecuta el comando firewall-cmd a continuación para abrir el puerto 5142 que será utilizado por la entrada graylog-alma.

sudo firewall-cmd --add-port=5142/udp --permanent  
sudo firewall-cmd --reload

Verifica la lista de puertos abiertos en firewalld usando el siguiente comando. Asegúrate de que el puerto 5142 esté disponible en firewalld.

sudo firewall-cmd --list-all

Enviando Registros a Graylog a través de Rsyslog

Después de crear la entrada Syslog UDP en el servidor Graylog, ahora puedes enviar mensajes de registro al servidor Graylog. En la siguiente sección, enviarás registros desde una máquina Linux al servidor Graylog usando Rsyslog.

Crea una nueva configuración adicional de rsyslog /etc/rsyslog.d/graylog.conf usando el siguiente comando del editor nano.

sudo nano /etc/rsyslog.d/graylog.conf

Inserta la siguiente configuración y asegúrate de cambiar la dirección IP y el puerto con los detalles de la entrada graylog-alma.

*.*@192.168.10.20:5142;RSYSLOG_SyslogProtocol23Format

Guarda y sal del archivo cuando termines.

Ahora ejecuta el comando systemctl a continuación para reiniciar el servicio de Rsyslog y aplicar los cambios. Después de que Rsyslog se reinicie, la máquina objetivo comenzará a enviar registros al servidor Graylog a través del protocolo syslog a la entrada graylog-alma.

sudo systemctl restart rsyslog

A continuación, vuelve al panel de administración de Graylog y haz clic en el menú Stream. Si tu instalación es exitosa, deberías ver los registros detallados de la máquina objetivo disponibles en el servidor Graylog.

Conclusión

¡Felicidades, has completado la instalación de Graylog como un sistema de gestión de registros centralizado en tu sistema AlmaLinux 9! Has instalado Graylog con MongoDB y Opensearch y también configurado la primera entrada de Graylog a través de Syslog UDP. Ahora puedes explorar diferentes tipos de entradas de Graylog o aprovechar el despliegue de Graylog con múltiples servidores.