Cómo instalar Graylog Server en CentOS 7

• Prerrequisitos
• Instalar Java
• Instalar Elasticsearch
• Instalar MongoDB
• Instalar el servidor Graylog
• Configurar Graylog
• Configure Nginx como un proxy inverso
• Configurar firewall y SELinux
• Conclusión

El servidor Graylog es un paquete de software de administración de registros de código abierto listo para la empresa. Recopila registros de varias fuentes y los analiza para descubrir y resolver problemas. El servidor Graylog es básicamente la combinación de Elasticsearch, MongoDB y Graylog. Elasticsearch es una aplicación de código abierto muy popular para almacenar texto y proporcionar capacidades de búsqueda muy potentes. MongoDB es una aplicación de código abierto para almacenar datos en formato NoSQL. Graylog recopila registros de varias fuentes y proporciona un tablero basado en la web para administrar y buscar a través de los registros. Graylog también proporciona una API REST para configuración y datos. Proporciona un tablero configurable que se puede utilizar para visualizar métricas y observar tendencias mediante el uso de estadísticas de campo, valores rápidos y gráficos desde una ubicación central.

En este tutorial, aprenderá a instalar Graylog Server en CentOS 7. Esta guía fue escrita para Graylog Server 2.3, pero también puede funcionar en versiones más recientes. También aprenderá a instalar Java, Elasticsearch y MongoDB. También aseguraremos la instancia de MongoDB y configuraremos un proxy inverso de Nginx para el tablero de instrumentos y la API basados ​​en la web.

Prerrequisitos

• Una instancia de servidor Vultr CentOS 7 con al menos 4 GB de RAM.
• Un usuario de sudo .

En este tutorial, lo utilizaremos 192.0.2.1como la dirección IP pública del servidor y graylog.example.comcomo el nombre de dominio señalado al servidor. Reemplace todas las apariciones de 192.0.2.1con su dirección IP pública de Vultr y graylog.example.comcon su nombre de dominio real.

Actualice su sistema base utilizando la guía Cómo actualizar CentOS 7 . Una vez que su sistema ha sido actualizado, proceda a instalar Java.

Instalar Java

Elasticsearch requiere Java 8 para ejecutarse. Es compatible con Oracle Java y OpenJDK, pero siempre se recomienda utilizar Oracle Java cuando sea posible. Oracle proporciona paquetes RPM listos para instalar. Descargue el Oracle JDK RPM:

wget --no-cookies --no-check-certificate --header "Cookie:oraclelicense=accept-securebackup-cookie" "http://download.oracle.com/otn-pub/java/jdk/8u144-b01/090f390dda5b47b9b721c7dfaa008135/jdk-8u144-linux-x64.rpm"

Instale el paquete RPM.

sudo yum -y install jdk-8u144-linux-x64.rpm

Si Java se ha instalado correctamente, entonces debería poder verificar su versión.

java -version

Verá el siguiente resultado.

[user@vultr ~]$ java -version
java version "1.8.0_144"
Java(TM) SE Runtime Environment (build 1.8.0_144-b01)
Java HotSpot(TM) 64-Bit Server VM (build 25.144-b01, mixed mode)

Conjunto JAVA_HOMEy JRE_HOMEvariable de entorno ejecutando:

echo "export JAVA_HOME=/usr/java/jdk1.8.0_144/" >> ~/.bash_profile
echo "export JRE_HOME=/usr/java/jdk1.8.0_144/jre" >> ~/.bash_profile

Ahora, busca el archivo usando el siguiente comando.

source ~/.bash_profile

Ejecute el echo $JAVA_HOMEcomando para verificar si la variable de entorno está establecida o no.

[user@vultr ~]$ echo $JAVA_HOME
/usr/java/jdk1.8.0_144/

Instalar Elasticsearch

Elasticsearch es una aplicación distribuida, en tiempo real, escalable y de alta disponibilidad utilizada para almacenar los registros y buscar a través de ellos. Almacena los datos en índices y la búsqueda a través de los datos es muy rápida. Proporciona varios conjuntos de API, como la API RESTful HTTP y la API Java nativa. Elasticsearch se puede instalar directamente a través del repositorio de Elasticsearch. Cree un nuevo archivo de repositorio para Elasticsearch.

sudo nano /etc/yum.repos.d/elasticsearch.repo

Rellene el archivo con el siguiente contenido.

[elasticsearch-5.x]
name=Elasticsearch repository for 5.x packages
baseurl=https://artifacts.elastic.co/packages/5.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

Importe la clave PGP utilizada para firmar los paquetes. Esto asegurará la integridad de los paquetes.

sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

Instale el paquete Elasticsearch:

sudo yum -y install elasticsearch

Una vez que el paquete está instalado, abra el archivo de configuración predeterminado de Elasticsearch.

sudo nano /etc/elasticsearch/elasticsearch.yml

Encuentre la siguiente línea, descomente y cambie el valor de my-applicationa graylog.

cluster.name: graylog

Puede iniciar Elasticsearch y permitir que se inicie automáticamente en el momento del arranque:

sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch

Elasticsearch ahora se está ejecutando en el puerto 9200. Verifique que esté funcionando correctamente ejecutando:

curl -XGET 'localhost:9200/?pretty'

Debería ver una salida similar a la siguiente.

[user@vultr ~]$ curl -XGET 'localhost:9200/?pretty'
{
  "name" : "-kYzFA9",
  "cluster_name" : "graylog",
  "cluster_uuid" : "T3JQKehzSqmLThlVkEKPKg",
  "version" : {
    "number" : "5.5.1",
    "build_hash" : "19c13d0",
    "build_date" : "2017-07-18T20:44:24.823Z",
    "build_snapshot" : false,
    "lucene_version" : "6.6.0"
  },
  "tagline" : "You Know, for Search"
}

Si encuentra errores, espere unos segundos y vuelva a intentarlo, ya que Elasticsearch necesita tiempo para completar su proceso de inicio. Elasticsearch ahora está instalado y funciona correctamente.

Instalar MongoDB

MongoDB es un servidor de base de datos NoSQL gratuito y de código abierto. A diferencia de la base de datos tradicional que usa tablas para organizar sus datos, MongoDB está orientado a documentos y usa documentos similares a JSON sin esquemas. Graylog utiliza MongoDB para almacenar su configuración y metainformación. Se puede instalar directamente a través del repositorio MongoDB. Cree un nuevo archivo de repositorio para MongoDB.

sudo nano /etc/yum.repos.d/mongodb.repo

Rellene el archivo con el siguiente contenido.

[mongodb-org-3.4]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/3.4/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-3.4.asc

Instale MongoDB ejecutando:

sudo yum -y install mongodb-org

Inicie el servidor MongoDB y permita que se inicie automáticamente.

sudo systemctl start mongod
sudo systemctl enable mongod

Instalar el servidor Graylog

Descargue el último repositorio para el servidor Graylog.

sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-2.3-repository_latest.rpm
sudo yum -y update

Instale Graylog ejecutando:

sudo yum -y install graylog-server

El servidor Graylog ahora está instalado en su servidor. Antes de poder iniciarlo, deberá configurar algunas cosas.

Configurar Graylog

Instale la pwgenutilidad para generar contraseñas seguras.

sudo yum -y install pwgen

Ahora genera una contraseña secreta segura.

pwgen -N 1 -s 96

Saldrá similar a:

[user@vultr ~]$ pwgen -N 1 -s 96
pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v

Además, genere un hash de 256 bits para la contraseña del adminusuario raíz :

echo -n StrongPassword | sha256sum

Reemplace StrongPasswordcon la contraseña que desea establecer para el adminusuario. Ya verás:

[user@vultr ~]$ echo -n StrongPassword | sha256sum
05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223  -

Abra el archivo de configuración de Graylog:

sudo nano /etc/graylog/server/server.conf

Encuentra password_secret =, copia y pega la contraseña generada a través del pwgencomando. Encuentre root_password_sha2 =, copie y pegue el hash SHA de 256 bits convertido de su contraseña de administrador. Encuentra #root_email =, descomenta y proporciona tu dirección de correo electrónico. Descomente y configure su zona horaria en root_timezone. Por ejemplo:

password_secret = pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v
root_password_sha2 = 05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223
root_email = [email protected]
root_timezone = Asia/Kolkata

Habilite la interfaz Graylog basada en web descomentando #web_enable = falsey estableciendo el valor en true. También descomente y cambie las siguientes líneas como se especifica.

rest_listen_uri = http://0.0.0.0:9000/api/
rest_transport_uri = http://45.76.214.19:9000/api/
web_enable = true
web_listen_uri = http://0.0.0.0:9000/

Guarde el archivo y salga de su editor de texto.

Reinicie el servicio Graylog ejecutando:

sudo systemctl restart graylog-server

Configure Nginx como un proxy inverso

De manera predeterminada, la interfaz web de Graylog escucha en localhostel puerto 9000 y la API escucha en el puerto 9000 con URL /api. En este tutorial, utilizaremos Nginx como proxy inverso para que la aplicación pueda acceder a través del puerto HTTP estándar. Instale el servidor web Nginx ejecutando:

sudo yum -y install nginx

Abra el host virtual predeterminado escribiendo.

sudo nano /etc/nginx/nginx.conf

Encuentre el serverbloque debajo httpy reemplace todo el serverbloque con las siguientes líneas.

server
{
    listen 80 default_server;
    listen [::]:80 default_server ipv6only=on;
    server_name graylog.example.com 192.0.2.1;

    location / {
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-Host $host;
      proxy_set_header X-Forwarded-Server $host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Graylog-Server-URL http://$server_name/api;
      proxy_pass       http://127.0.0.1:9000;
    }
}

Inicie Nginx y permita que se inicie automáticamente en el momento del arranque:

sudo systemctl start nginx
sudo systemctl enable nginx

Configurar firewall y SELinux

Si está ejecutando un firewall en su servidor, necesitará configurar el firewall para establecer una excepción para ciertos puertos. Permita que el servicio Elasticsearch y el proxy inverso Nginx se conecten desde fuera de la red.

sudo firewall-cmd --zone=public --permanent --add-service=http
sudo firewall-cmd --zone=public --permanent --add-port=9200/tcp
sudo firewall-cmd --reload

Si tiene SELinux habilitado en su sistema, deberá agregar algunas excepciones en las políticas de SELinux.

sudo setsebool -P httpd_can_network_connect 1
sudo semanage port -a -t http_port_t -p tcp 9000
sudo semanage port -a -t http_port_t -p tcp 9200
sudo semanage port -a -t mongod_port_t -p tcp 27017

Conclusión

La instalación y configuración básica del servidor Graylog ahora está completa. Ahora puede acceder al servidor Graylog en http://192.0.2.1o http://graylog.example.comsi tiene DNS configurado. Inicie sesión con el nombre de usuario adminy la versión de texto plano de la contraseña que estableció root_password_sha2anteriormente.

Felicidades: tiene un servidor Graylog totalmente funcional instalado en su servidor CentOS 7.