Cómo instalar Graylog en Ubuntu 24.04

Graylog es una plataforma de gestión de registros gratuita y de código abierto para capturar, almacenar y habilitar el análisis en tiempo real de tus datos y registros. Está escrita en Java y se basa en otro software de código abierto como MongoDB y Elasticsearch.

Graylog proporciona una de las plataformas de gestión de registros centralizada más eficientes, rápidas y flexibles. Con Graylog, puedes enviar y analizar tanto datos estructurados como no estructurados de casi cualquier fuente de datos.

En este tutorial, aprenderás cómo instalar el servidor Graylog en Ubuntu 24.04. Estarás instalando Graylog junto con MongoDB y Elasticsearch.

Requisitos previos

Para completar este tutorial, asegúrate de tener lo siguiente:

• Un servidor Ubuntu 24.04 con al menos 4 u 8 GB de memoria
• Un usuario no root con privilegios de administrador

Instalando MongoDB

Para instalar Graylog, primero debes tener MongoDB instalado. En este momento, Graylog solo es compatible con MongoDB v5.x-7.x, y en esta sección, estarás instalando MongoDB 7.x en tu servidor Ubuntu.

Primero, ejecuta el siguiente comando para instalar algunas dependencias.

sudo apt install apt-transport-https gnupg2 uuid-runtime pwgen curl dirmngr -y

Ahora agrega la clave GPG y el repositorio de MongoDB con el siguiente comando. En este ejemplo, estarás usando MongoDB 7.0 para la versión anterior de Ubuntu.

curl -fsSL  | \  
sudo gpg -o /usr/share/keyrings/mongodb-server-7.0.gpg \  
--dearmor

echo "deb [ arch=amd64,arm64 signed-by=/usr/share/keyrings/mongodb-server-7.0.gpg ] https://repo.mongodb.org/apt/ubuntu jammy/mongodb-org/7.0 multiverse" | \  
sudo tee /etc/apt/sources.list.d/mongodb-org-7.0.list

Una vez que se haya agregado el repositorio, ejecuta el comando ‘apt’ a continuación para actualizar tu índice de paquetes de Ubuntu e instalar MongoDB en tu sistema.

sudo apt update && sudo apt install mongodb-org

Ingresa ‘ Y ‘ para confirmar la instalación.

Después de que la instalación esté completa, inicia y habilita el servicio ‘ mongod ‘ con el siguiente comando.

sudo systemctl enable --now mongod

Por último, verifica el servicio ‘ mongod ‘ para asegurarte de que el servicio esté en funcionamiento. Deberías ver que MongoDB está funcionando en tu sistema.

sudo systemctl status mongod

Instalando Elasticsearch

Después de haber instalado MongoDB, necesitas instalar Elasticsearch. Y antes de eso, debes instalar Java OpenJDK primero, y luego instalar Elasticsearch. Por ahora, el servidor Graylog solo es compatible con Elasticsearch v7.x.

Para instalar Java OpenJDK, ejecuta el comando ‘ apt ‘ a continuación. Ingresa ‘ Y ‘ para proceder con la instalación.

sudo apt install openjdk-11-jre-headless

Ahora verifica la versión de Java con lo siguiente. Deberías ver que Java OpenJDK 11 ha sido instalado.

java --version

Después de que Java esté instalado, estás listo para instalar Elasticsearch.

Ejecuta el siguiente comando para agregar la clave GPG y el repositorio para Elasticsearch. En este ejemplo, estarás instalando Elasticsearch 7.x.

wget -qO -  | apt-key add -  
echo "deb https://artifacts.elastic.co/packages/oss-7.x/apt stable main" | \  
sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list

Ahora ejecuta el siguiente comando para actualizar tu repositorio de Ubuntu e instalar el paquete ‘elasticsearch’. Ingresa ‘ Y ‘ para confirmar.

sudo apt update && sudo apt install elasticsearch

Después de la instalación, abre el archivo de configuración de Elasticsearch ‘ /etc/elasticsearch/elasticsearch.yml ‘ con el editor ‘ nano ‘.

sudo nano /etc/elasticsearch/elasticsearch.yml

Cambia el ‘ cluster.name ‘ predeterminado y establece ‘ action.auto_create_index ‘ en ‘ false ‘ como sigue:

cluster.name: graylog  
action.auto_create_index: false

Guarda el archivo y sal del editor.

Ahora ejecuta el siguiente comando ‘ systemctl ‘ para recargar el administrador de systemd, iniciar y habilitar el servicio de Elasticsearch.

sudo systemctl daemon-reload  
sudo systemctl enable --now elasticsearch

Con Elasticsearch en funcionamiento, puedes verificarlo con el siguiente comando.

sudo systemctl status elasticsearch

La siguiente salida confirma que Elasticsearch está en funcionamiento.

También puedes verificar Elasticsearch con el comando ‘ curl ‘ a continuación.

curl -X GET http://localhost:9200

Si Elasticsearch está en funcionamiento, puedes ver su número de versión y el nombre del clúster como sigue.

Instalando Graylog

Ahora que has instalado MongoDB y Elasticsearch, estás listo para instalar Graylog en tu servidor. En esta sección, instalarás Graylog y configurarás la autenticación por contraseña para tu instalación.

Descarga el paquete del repositorio de Graylog usando el comando ‘ wget ‘ e instálalo con el comando ‘ dpkg ‘ como sigue:

wget https://packages.graylog2.org/repo/packages/graylog-6.1-repository_latest.deb  
sudo dpkg -i graylog-6.1-repository_latest.deb

Ahora ejecuta el comando ‘ apt ‘ a continuación para actualizar tu índice de paquetes de Ubuntu e instalar el paquete ‘ graylog-server ‘. Ingresa ‘ Y ‘ para confirmar la instalación.

sudo apt update && sudo apt install graylog-server

Después de la instalación, necesitas generar dos contraseñas, ‘ password_secret ‘ y ‘ root_password_sha2 ‘, para Graylog.

Para generar el ‘ password_secret ‘, ejecuta el siguiente comando. Asegúrate de copiar la contraseña generada.

< /dev/urandom tr -dc A-Z-a-z-0-9 | head -c${1:-96};echo;

Para la contraseña ‘ root_password_sha2 ‘, ejecuta el siguiente comando. Ingresa tu contraseña cuando se te pida y copia la contraseña sha generada.

echo -n "Enter Password: " && head -1 

Ahora que has generado las contraseñas de Graylog, modificarás el archivo de configuración de Graylog.

Abre el archivo ‘ /etc/graylog/server/server.conf ‘ con el siguiente editor ‘ nano ‘.

sudo nano /etc/graylog/server/server.conf

Pega tu contraseña generada tanto para ‘ password_secret ‘ como para ‘ root_password_sha2 ‘. Y luego, cambia la ‘ http_bind_address ‘ predeterminada a tu dirección IP local.

password_secret = PoMVlAiuJLA89rNAtLWz0PF7TLwX3JEQD7zp1kfOGAwdr0P-oQ0HKoebpevpPK2Q2quvjmqHQreP1yQYTX0jDjIe3JcBU5J  
root_password_sha2 = a7fdfe53e2a13cb602def10146388c65051c67e60ee55c051668a1c709449111  
http_bind_address = 192.168.10.60:9000

Guarda el archivo y sal del editor.

A continuación, ejecuta el siguiente comando ‘ systemctl ‘ para recargar el administrador de systemd, iniciar y habilitar el servicio ‘ graylog-server ‘.

sudo systemctl daemon-reload  
sudo systemctl enable --now graylog-server

Por último, verifica el estado del ‘ graylog-server ‘ usando el comando. Si tu instalación es exitosa, verás que Graylog está funcionando en tu servidor Ubuntu.

sudo systemctl status graylog-server

Configurando Graylog

En este punto, Graylog está funcionando en tu servidor Ubuntu. Ahora configurarás Graylog a través de un navegador web.

Antes de acceder a Graylog, verifica el archivo de registro ‘ /var/log/graylog-server/server.log ‘ con el siguiente comando. Copia el enlace para configurar tu instalación de Graylog y pégalo en tu navegador.

cat /var/log/graylog-server/server.log

Ahora verás la página de configuración inicial de Graylog. Aquí, configurarás los certificados SSL para el nodo de datos de Graylog como sigue:

• Ingresa el nombre de tu organización
Ingresa los días de expiración del certificado
Salta la provisión de datos del nodo del certificado

Una vez terminado, haz clic en ‘ Resume startup ‘ para continuar.

Ahora serás redirigido a la página de inicio de sesión de Graylog. Ingresa el usuario predeterminado ‘ admin ‘ con la contraseña dentro de la opción ‘ root_password_sha2 ‘.

Si tienes el nombre de usuario y la contraseña correctos, obtendrás el panel de control de Graylog como sigue:

Conclusión

¡Felicidades! Has completado la instalación de Graylog en el servidor Ubuntu 24.04. Tienes Graylog en funcionamiento con MongoDB 7.x y Elasticsearch 7.x. A partir de aquí, ahora puedes crear nuevas entradas de Graylog para que puedas enviar registros a tu servidor Graylog.