Cómo instalar la herramienta de gestión de registros de GrayLog en los sistemas RHEL

GrayLog es una solución de gestión de registros de OpenSource líder en la industria para recopilar, almacenar, indexar y analizar datos en tiempo real de aplicaciones y una miríada de dispositivos en infraestructuras de TI como servidores, enrutadores y firewalls.

GrayLog Le ayuda a obtener más información sobre los datos recopilados combinando múltiples búsquedas para análisis e informes detallados. También detecta amenazas y posible actividad nefasta mediante la realización de un análisis profundo de los registros de fuentes remotas.

Herramienta de gestión de registros de GrayLog

GrayLog comprende lo siguiente:

• El servidor GrayLog: este es el servidor principal y se utiliza para procesar registros.
• La interfaz web GrayLog: esta es una aplicación de navegador que mira los datos y los registros recopilados de múltiples puntos finales.
• MongoDB: un servidor de base de datos Nosql para almacenar datos de configuración.
• Elasticsearch: este es un motor de búsqueda y análisis de código abierto y de código abierto que elimina e indexa datos sin procesar de varias fuentes.

La arquitectura de Graylog acepta cualquier tipo de datos estructurados, incluido el tráfico de red y los registros de lo siguiente:

• Syslog (TCP, UDP, AMQP, KAFKA).
• AWS - AWS Logs, CloudTrail y FlowLogs.
• Netflow (UDP).
• GELF (TCP, UDP, AMQP, KAFKA).
• Elk - Beats y Logstash.
• Ruta json desde la API HTTP.

Algunas de las compañías tecnológicas gigantes que implementan GrayLog En sus pilas tecnológicas incluyen Fiverr, Circleci, Basura, y Bitpanda.

En esta guía, le mostraremos cómo instalar el GrayLog Herramienta de gestión de registros en Rhel 8 y distribuciones con sede en Rhel como Almalinux, Flujo de centos, y Rocky Linux.

Paso 1: Instale los paquetes de repositorio de EPEL y requisitos previos

Para comenzar, necesita algunos paquetes esenciales que serán útiles a medida que avance junto con esta guía. Primero, instale el Epel repositorio que proporciona un conjunto rico de paquetes de software para Rhel Y Rhel distribuciones.

$ sudo dnf install https: // dl.federaproject.org/pub/epel/epel-liber-latest-8.noarch.rpm 

A continuación, instale los siguientes paquetes que se requerirán en el camino.

$ sudo dnf instalación -y pwgen wget curl perl-digest-sha 

Paso 2: Instale Java (OpenJDK) en RHEL

Uno de los requisitos previos de la instalación GrayLog es Java 8 y versiones posteriores. Aquí, vamos a instalar el último lanzamiento de LTS de Java cual es Java 11 que será proporcionado por OpenJDK 11.

Por lo tanto, ejecute el siguiente comando para instalar Abrejdk.

$ sudo dnf install java-11-openjdk java-11-openjdk-devel -y 

Esto se instala Java dependencias y una gran cantidad de otras dependencias.

Una vez que se complete la instalación, verifique la versión instalada.

$ java -versión 

Consulte Java en RHEL

Paso 3: Instale ElasticSearch en RHEL

Elasticsearch es un motor de búsqueda y análisis de código abierto y de código abierto que maneja una amplia variedad de datos que incluyen datos estructurados, no estructurados, numéricos, geoespaciales y textuales.

Es un componente clave de la pila elástica, también conocida como ALCE (Elasticsearch, logstash y kibana), y se usa ampliamente para sus simples apis de descanso, escalabilidad y velocidad.

GrayLog requerimiento Elasticsearch 6.x o 7.X. Instalaremos Elasticsearch 7.X cuál es el último lanzamiento en el momento de publicar esta guía.

Crear el Elasticsearch archivo del repositorio.

$ sudo vim /etc /yum.repositar.d/elasticsearch.repositorio 

A continuación, pegue las siguientes líneas de código en el archivo.

[Elasticsearch-7.x] nombre = repositorio de elasticsearch para 7.x paquetes baseUrl = https: // artefactos.elástico.CO/paquetes/OSS-7.x/yum gpgcheck = 1 gpgkey = https: // artefactos.elástico.CO/GPG-Key-ElasticSearch habilitado = 1 Autorefresh = 1 Type = RPM-MD 

Guardar los cambios y salir.

A continuación, instalar Elasticsearch Uso del administrador del paquete DNF como se muestra.

$ sudo dnf install elasticsearch-oss 

Instale Elasticsearch en RHEL

Para Elasticsearch trabajar con GrayLog, Se requieren algunos cambios. Así que abre el elasticsearch.YML archivo.

$ sudo vim/etc/elasticsearch/elasticsearch.YML 

Actualice el nombre del clúster a GrayLog como se muestra.

grupo.Nombre: GrayLog 

Guardar los cambios y salir.

Luego recargar la configuración del administrador de Systemd.

$ sudo SystemCtl-Daemon-Reload 

A continuación, habilite y comience el Elasticsearch Servicio ejecutando los siguientes comandos.

$ sudo systemctl habilitar elasticsearch.Servicio $ sudo SystemCTL Start Elasticsearch.servicio 

Habilitar Elasticsearch en Rhel

Elasticsearch escucha al puerto 9200 Por defecto para procesar Http peticiones. Puede confirmar esto enviando un RIZO solicitud como se muestra.

$ curl -x get http: // localhost: 9200 

Consulte Elasticsearch en RHEL

Paso 4: Instale MongoDB en RHEL

GrayLog usa un Mongodb servidor de bases de datos para almacenar datos de configuración.

Instalaremos MongoDB 4.4, Pero primero, cree un archivo de configuración para Mongodb.

$ sudo vim /etc /yum.repositar.D/MongoDB-ORG-4.repositorio 

Luego pegue la siguiente configuración.

[MongoDB-Org-4] Nombre = Repository MongoDB BaseUrl = https: // repositorio.mongodb.org/yum/redhat/8/mongoDB-org/4.4/x86_64/gpgcheck = 1 habilitado = 1 gpgkey = https: // www.mongodb.org/static/pgp/server-4.4.asc 

Guardar los cambios y salir.

A continuación, instalar Mongodb como sigue.

$ sudo dnf install MongoDB-ORG 

Una vez instalado, inicie y habilite a MongoDB para iniciar el inicio del sistema.

$ sudo SystemCTL Start MongoD $ sudo SystemCtl Enable Mongod 

Para verificar la versión MongoDB, ejecute el comando:

$ Mongo -Versión 

Verifique MongoDB en Rhel

Paso 5: Instale el servidor GrayLog en RHEL

Con todos los componentes de requisitos previos instalados, ahora instale GrayLog ejecutando los siguientes comandos.

$ sudo rpm -uvh https: // paquetes.GrayLog2.org/repo/paquetes/GrayLog-4.2-Repository_Latest.RPM $ sudo DNF Instalar GrayLog-Server 

Puede verificar la instalación de GrayLog como se muestra:

$ rpm -qi graylog -server 

Consulte GrayLog en RHEL

Ahora, comience y habilite el GrayLog servidor para comenzar en el tiempo de arranque.

$ sudo systemctl start graylog-server.Servicio $ sudo SystemCTL Habilitar GrayLog-Server.servicio 

Paso 6: Configure el servidor GrayLog en RHEL

Para GrayLog Para funcionar como se esperaba, se requieren algunos pasos adicionales. Debe definir los siguientes parámetros en el archivo de configuración:

root_password_sha2 contraseña_secret root_username http_bind_address 

Definiremos estas variables en el /etc/graylog/servidor/servidor.confusión archivo que es el archivo de configuración predeterminado.

El root_password_sha2 es la contraseña hash para el usuario root. Para generarlo, ejecute el siguiente comando. El [correo electrónico protegido] es solo un marcador de posición. No dude en especificar su propia contraseña.

$ echo -n [correo electrónico protegido] | shasum -a 256 

Producción

68e865af8ddbeffc494508bb6181167fccf0bb7c0cab421c54ef3067bdd8d85d 

Tome nota de esta contraseña y guárdela en algún lugar.

A continuación, genere el contraseña_secret como sigue:

$ pwgen -n 1 -s 96 

Producción

T1etssecy0qe4jig3t6e96a5qlu5whs9p5slivEx9kybwjc3wkhn4246oqgype4btlxaaiocm7yusd9bgaonqxktstjuqbf 

Nuevamente, tome nota de esta contraseña de hash.

A continuación, abra el archivo de configuración de GrayLog.

$ sudo vim/etc/graylog/servidor/servidor.confusión 

Pegar los valores que generó root_password_sha2 y contraseña_secret como se muestra.

root_username = admin root_password_sha2 = 68e865af8ddbeffc494508bb6181167fccf0bb7c0cab421c54ef3067bdd8d85d password_secret = T1EtSsecY0QE4jIG3t6e96A5qLU5WhS9p5SliveX9kybWjC3WKhN4246oqGYPe4BTLXaaiOcM7LyuSd9bGAonQxkTsTjuqBf 

Además, hacer GrayLog accesible por usuarios externos configurando el http_bind_address Parámetro de la siguiente manera.

http_bind_address = 0.0.0.0: 9000 

Además, configure la zona horaria para el GrayLog servidor.

root_timzae = utc 

Guardar y salir del archivo de configuración.

Para aplicar los cambios, reinicie el GrayLog servidor.

$ sudo SystemCTL reiniciar GrayLog-servir.servicio 

Puede confirmar desde los archivos de registro y verificar si GrayLog está funcionando como se esperaba.

$ tail -f/var/log/graylog -server/servidor.registro 

La siguiente salida en la última línea muestra que todo está bien.

Verifique el estado de GrayLog en RHEL

GrayLog escucha en el puerto 9000 que proporciona acceso a la interfaz web. Entonces, abra este puerto en el firewall.

$ sudo firewall-cmd --Add-port = 9000/TCP --Permanent $ sudo firewall-cmd--Reload 

Paso 7: Access GrayLog Web ui

Acceder GrayLog, Explorar la siguiente URL.

http: // servidor-ip: 9000 o http: // name de dominio: 9000 

Inicie sesión con su administrador de nombre de usuario y la contraseña configurada para root_password_sha2 en el servidor.confusión archivo.

Inicio de sesión del usuario de GrayLog

Una vez iniciado sesión, debería ver el siguiente tablero.

Panel de GrayLog

Desde aquí, puede continuar con el análisis de datos y registros recopilados de varias fuentes de datos.

GrayLog continúa siendo una solución de gestión de registro centralizada popular para desarrolladores y equipos de operación. El análisis de los datos recopilados proporciona información profunda sobre el estado de trabajo de diversas aplicaciones y dispositivos y ayuda a encontrar errores y optimizar las operaciones de TI.

Eso es todo para esta guía. En este tutorial, hemos demostrado cómo instalar Servidor GrayLog En distribuciones de Linux con sede en RHEL.