Como Instalar Graylog no AlmaLinux 9

Graylog é uma plataforma de gerenciamento de logs gratuita e de código aberto para capturar, armazenar e permitir a análise em tempo real de seus dados e logs. É escrito em Java e construído sobre outros softwares de código aberto como MongoDB e Elasticsearch. Graylog fornece uma das plataformas de gerenciamento de logs centralizado mais eficientes, rápidas e flexíveis. Com Graylog, você pode enviar e analisar dados estruturados e não estruturados de quase qualquer fonte de dados.

Neste guia, vamos abordar a instalação do Graylog como um Sistema de Gerenciamento de Logs Centralizado no servidor AlmaLinux 9. Você instalará o servidor Graylog e, em seguida, configurará entradas para que os clientes enviem logs para o servidor Graylog.

Pré-requisitos

Para que você complete este guia, certifique-se de que possui o seguinte:

• Um servidor AlmaLinux 9 com pelo menos 4 GB de memória - Neste caso, estaremos usando um servidor AlmaLinux com 8 GB de memória e endereço IP 192.168.10.20.
• Um usuário não-root com privilégios de administrador.

Configurando Repositórios

Para começar este guia, você adicionará novos repositórios à sua máquina AlmaLinux 9. Você adicionará o repositório do MongoDB 6.x, Opensearch 2.x e o Graylog 5.x ao seu sistema.

Primeiro, execute o comando dnf abaixo para instalar o curl em seu sistema.

sudo dnf install curl -y

Agora copie e execute o seguinte comando para adicionar o repositório do MongoDB. O servidor Graylog requer pelo menos o MongoDB v6.x.

cat <

Em seguida, execute o seguinte comando para adicionar o repositório do Opensearch. Opensearch é uma alternativa ao Elasticsearch, que é recomendado para uso na nova versão do Graylog. Neste caso, estaremos usando o Opensearch v2.x.

sudo curl -SL https://artifacts.opensearch.org/releases/bundle/opensearch/2.x/opensearch-2.x.repo -o /etc/yum.repos.d/opensearch-2.x.repo

Agora execute o comando abaixo para adicionar o repositório do Graylog ao seu sistema. No momento da redação deste texto, a versão mais recente do servidor Graylog é a v5.1.

sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-5.1-repository_latest.rpm

Por fim, execute o comando dnf abaixo para verificar os repositórios disponíveis em seu servidor AlmaLinux.

sudo dnf repolist

Se bem-sucedido, você deve ver o repositório do MongoDB 6.x, Opensearch 2.x e o servidor Graylog.

Instalando Dependências

Após adicionar os repositórios, você instalará o MongoDB 6.x e o Opensearch 2.x via o gerenciador de pacotes DNF. O MongoDB será usado para dados de string, e o Opensearch será o principal mecanismo de busca para o servidor Graylog.

Execute o comando dnf abaixo para instalar o MongoDB e o Opensearch. Digite y quando solicitado para confirmação e pressione ENTER.

sudo dnf install mongodb-org opensearch

Uma vez que o MongoDB e o Opensearch estejam instalados, execute o comando systemctl abaixo para recarregar o gerenciador systemd.

sudo systemctl daemon-reload

Em seguida, inicie e habilite o serviço MongoDB usando o comando abaixo.

sudo systemctl start mongod  
sudo systemctl enable mongod

Inicie e habilite o serviço Opensearch usando o comando abaixo.

sudo systemctl start opensearch  
sudo systemctl enable opensearch

Por fim, execute o comando abaixo para verificar o status dos serviços MongoDB e Opensearch. Se estiver em execução, o status do serviço deve ser ativo (em execução).

sudo systemctl status mongod  
sudo systemctl status opensearch

Verificando o status do serviço MongoDB.

Verificando o status do serviço Opensearch.

Configurando Opensearch

Para a implantação do Graylog, é recomendado usar o Opensearch como o mecanismo de busca padrão. Uma alternativa ao Opensearch é o Elasticsearch, mas suporta apenas a versão Elasticsearch v7.x. Na seção a seguir, você configurará o Opensearch como o mecanismo de busca padrão para o seu servidor Graylog.

Primeiro, abra a configuração padrão do Opensearch /etc/opensearch/opensearch.yml usando o seguinte comando do editor nano.

sudo nano /etc/opensearch/opensearch.yml

Descomente o parâmetro cluster.name e insira o nome do seu cluster Opensearch, node.name e insira o nome do host do seu sistema, em seguida network.host e insira seu endereço IP interno. Neste caso, o nome do cluster será graylog com o nome do host graylog-alma e o endereço IP 192.168.10.20 (Isso está rodando em uma rede local).

cluster.name: graylog  
node.name: graylog-alma  
network.host: 0.0.0.0

Adicione as seguintes linhas para configurar o Opensearch como um único nó/servidor, desabilitar auto_create_index e o plugin de segurança (apenas para fins de teste).

discovery.type: single-node  
action.auto_create_index: false  
plugins.security.disabled: true

Salve o arquivo e saia do editor quando terminar.

Agora, abra o arquivo /etc/opensearch/jvm.options usando o editor nano para configurar a alocação máxima de memória para o serviço Opensearch.

sudo nano /etc/opensearch/jvm.options

Altere a alocação de memória padrão para sua instalação do Opensearch. Neste caso, o Opensearch deve estar rodando com uma memória máxima de 2 GB.

-Xms2g  
-Xmx2g

Salve o arquivo e saia do editor após terminar.

Em seguida, abra o arquivo /usr/lib/tmpfiles.d/opensearch.conf usando o seguinte comando do editor nano.

sudo nano /usr/lib/tmpfiles.d/opensearch.conf

Altere o caminho padrão de /var/run/opensearch para /run/opensearch. Este diretório será usado para armazenar arquivos adicionais relacionados ao Opensearch e será criado automaticamente via esta configuração.

/run/opensearch

Salve e feche o arquivo quando terminar.

Depois disso, execute o seguinte comando para aumentar o vm.max_map_count para 262144. Isso é necessário pelo Opensearch, e para torná-lo permanente, você adicionará um novo parâmetro ao arquivo /etc/sysctl.conf.

sudo sysctl -w vm.max_map_count=262144  
sudo echo 'vm.max_map_count=262144' >> /etc/sysctl.conf

Agora execute o comando systemctl abaixo para reiniciar o serviço Opensearch e aplicar as alterações que você fez.

sudo systemctl restart opensearch

O Opensearch deve estar rodando no endereço IP local do seu servidor, e neste caso, está rodando em 192.168.10.20 com a porta padrão 9200.

Execute o comando curl abaixo para acessar sua instalação do Opensearch.

curl 192.168.10.20:9200

Se a configuração do Opensearch for bem-sucedida, você deve ver as informações detalhadas sobre sua instalação do Opensearch assim:

Neste ponto, o Opensearch e o MongoDB estão prontos. Na próxima seção, você iniciará a instalação e configuração do servidor Graylog.

Instalando e Configurando o Servidor Graylog

Nesta seção, você instalará o servidor Graylog v5.x em sua máquina AlmaLinux 9 e configurará o Graylog como gerenciamento centralizado de logs para sua infraestrutura.

Execute o comando dnf abaixo para instalar o pacote graylog-server. Digite y para confirmar a instalação e pressione ENTER para prosseguir.

sudo dnf install graylog-server

Digite y novamente para adicionar a chave GPG do repositório Graylog.

Uma vez que o servidor Graylog esteja instalado, execute o seguinte comando para gerar o password_secret para o servidor Graylog. Copie a string aleatória que você gerou.

< /dev/urandom tr -dc A-Z-a-z-0-9 | head -c${1:-96};echo;

Agora execute o seguinte comando para gerar o root_password_sha2 para seu servidor graylog. Esta senha será usada para fazer login no painel de administração do Graylog.

echo -n "Enter Password: " && head -1 

Digite sua senha e copie a senha hash gerada.

No exemplo abaixo, JmGGtkruJ80LjnQBnz8QZ0gHjKpBZwWmH7JF0ZBa9iBS999bTlQfViaQj7jAH-XgIVcdVcDVYyy3x5Dh7fEXCPhbrSUXX1G1 é o password secret e 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8 é a senha root_password_sha2 gerada para seu servidor Graylog.

Em seguida, abra a configuração do Graylog /etc/graylog/server/server.conf usando o editor nano.

sudo nano /etc/graylog/server/server.conf

Insira o password secret gerado no parâmetro password_secret e altere o root_password_sha2 padrão pela nova senha que você gerou.

password_secret = R8zwuO2NDewUcwRFQ0QDm07tn6AppmwThty0aagxOoqMDWNqPJLwrffpz7DdQyQVY1uHq54QwgYMNkZnBLuXQf3B1giq5RKX  
...  
root_password_sha2 = a7fdfe53e2a13cb602def10146388c65051c67e60ee55c051668a1c709449111

Descomente o parâmetro http_bind_address e altere o endereço IP para o seu endereço IP interno seguido pela porta padrão do servidor Graylog 9000.

http_bind_address = 192.168.10.20:9000

Salve o arquivo e feche o editor.

Agora execute o comando systemctl abaixo para recarregar o gerenciador systemd.

sudo systemctl daemon-reload

Em seguida, inicie e habilite o servidor Graylog usando o comando abaixo.

sudo systemctl start graylog-server  
sudo systemctl enable graylog-server

Por fim, verifique o status do servidor Graylog usando o seguinte comando. Se o Graylog estiver em execução, você deve obter uma saída ativo (em execução) em seu terminal.

sudo systemctl status graylog-server

Além disso, você também pode verificar o servidor Graylog verificando a lista de portas abertas em seu sistema usando o comando ss abaixo.

ss -tulpn | grep 9000

Se bem-sucedido, você deve ver que o servidor Graylog está usando a porta 9000.

Configurando Firewalld e SELinux

Após instalar e configurar o servidor Graylog, o próximo passo será configurar o SELinux e o firewalld. Neste caso, o SELinux está rodando em modo de aplicação e o firewalld está em execução.

Execute o comando dnf abaixo para instalar as ferramentas de gerenciamento do SELinux em seu servidor AlmaLinux. Digite y quando solicitado e pressione ENTER para prosseguir.

sudo dnf install policycoreutils policycoreutils-python-utils

Agora, execute o seguinte comando para adicionar algumas políticas do SELinux e permitir portas para alguns serviços, como a porta do servidor Graylog 9000, a porta do MongoDB 27017 e a porta do Opensearch 9200.

sudo setsebool -P httpd_can_network_connect 1  
sudo semanage port -a -t http_port_t -p tcp 9000  
sudo semanage port -a -t http_port_t -p tcp 9200  
sudo semanage port -a -t mongod_port_t -p tcp 27017

Em seguida, execute o comando firewall-cmd abaixo para adicionar a porta do servidor Graylog 9000 ao firewalld e recarregar o firewalld para aplicar as alterações.

sudo firewall-cmd --add-port=9000/tcp --permanent  
sudo firewall-cmd --reload

Por fim, execute o seguinte comando para verificar a lista de regras do firewalld em seu sistema. Certifique-se de que a porta 9000 esteja disponível em seu firewalld.

sudo firewall-cmd --list-all

Acessando o Servidor Graylog

Com você tendo configurado com sucesso o SELinux e o firewalld, agora você pode acessar sua instalação do servidor Graylog.

Inicie seu navegador da web preferido e visite o endereço IP do seu servidor AlmaLinux seguido pela porta 9000 (ou seja: http://192.168.10.20:9000/). Se a instalação do graylog for bem-sucedida, você deve ver a página de login do Graylog como a seguinte.

Faça login com o usuário padrão admin e a senha que você gerou (a senha root_password_sha2).

Se você tiver o usuário e a senha corretos, o painel de administração do Graylog será exibido em seu navegador.

Criar Primeira Entrada Graylog

Após fazer login no servidor Graylog, a primeira coisa que você deve fazer é criar novas entradas que serão usadas como receptor de logs do sistema de monitoramento alvo. Existem dois tipos de entradas Graylog, Entradas Listener e Entradas Pull.

Exemplos de entradas Listener são Syslog TCP/UDP, Beats TCP, GELF TCP, CEF TCP e Netflow TCP. Alguns exemplos de entradas Pull são CEF AMQP e Kafka, Raw/Plaintext AMQP e Kafka, e Syslog AMQP e Kafka.

Na seção a seguir, você criará a primeira entrada Graylog usando Syslog UDP.

Clique no menu Sistema e selecione Entradas.

Selecione o tipo de entrada que você deseja criar no menu suspenso e clique em Iniciar nova entrada. Neste caso, criaremos um tipo de entrada Syslog UDP.

Digite o nome da entrada, o endereço IP interno e a porta onde a nova entrada estará em execução. Neste caso, criaremos uma entrada Syslog UDP graylog-alma que estará em execução em um endereço IP interno 0.0.0.0 com a porta 5142.

Em seguida, role até a parte inferior da página e você deve ver a nova entrada graylog-alma com status em execução.

Por fim, volte ao servidor terminal e execute o comando firewall-cmd abaixo para abrir a porta 5142 que será usada pela entrada graylog-alma.

sudo firewall-cmd --add-port=5142/udp --permanent  
sudo firewall-cmd --reload

Verifique a lista de portas abertas no firewalld usando o seguinte comando. Certifique-se de que a porta 5142 esteja disponível no firewalld.

sudo firewall-cmd --list-all

Enviando Logs para o Graylog via Rsyslog

Após criar a entrada Syslog UDP no servidor Graylog, você pode agora enviar mensagens de log para o servidor Graylog. Na seção a seguir, você enviará logs de uma máquina Linux para o servidor Graylog usando o Rsyslog.

Crie uma nova configuração adicional do rsyslog /etc/rsyslog.d/graylog.conf usando o seguinte comando do editor nano.

sudo nano /etc/rsyslog.d/graylog.conf

Insira a seguinte configuração e certifique-se de alterar o endereço IP e a porta com os detalhes da entrada graylog-alma.

*.*@192.168.10.20:5142;RSYSLOG_SyslogProtocol23Format

Salve e saia do arquivo quando terminar.

Agora execute o comando systemctl abaixo para reiniciar o serviço Rsyslog e aplicar as alterações. Após o Rsyslog reiniciar, a máquina alvo começará a enviar logs para o servidor Graylog via protocolo syslog para a entrada graylog-alma.

sudo systemctl restart rsyslog

Em seguida, volte ao painel de administração do Graylog e clique no menu Stream. Se sua instalação for bem-sucedida, você deve ver os logs detalhados da máquina alvo disponíveis no servidor Graylog.

Conclusão

Parabéns, você completou a instalação do Graylog como um sistema de gerenciamento de logs centralizado em seu sistema AlmaLinux 9! Você instalou o Graylog com MongoDB e Opensearch e também configurou a primeira entrada Graylog via Syslog UDP. Agora você pode explorar diferentes tipos de entradas Graylog ou aproveitar a implantação do Graylog com vários servidores.