Instalação do Graylog 2.4 no Ubuntu Bionic (18.04)

Bezaleel Ramos Graylog, Monitoração Novembro 12, 2018

Introdução

Graylog é uma ótima ferramenta open-source para gerenciamento de logs, desenvolvida por Lennart Koopman. Buscando facilitar a compreensão de informações dos serviços e com interface web. O Graylog extrai dados importantes dos logs do servidor, que geralmente são enviados usando protocolo Syslog.

Componentes:

Para funcionamento do GrayLog, os componentes abaixo precisam ser instalado:

GrayLog: A versão que vamos usar para instalação será 2.4;
MongoDB: O MongoDB pode ser instalado na versão atual;
Elasticsearch: Certas versões do Elasticsearch não é compativel com o GrayLog. Por exemplo, a versão 2.3 não funciona em Elasticsearch 5.x. Neste artigo vamos usar o GrayLog 2.4 com Elasticsearch 5.x(compatível).

Pré-requisitos:

A instalação será feita no Ubuntu Bionic, 4 Gib memória e OpenJDK-8 instalado.

Localização dos arquivos

Graylog

Configuração: /etc/graylog/server/server.conf;
Configuração do Loggin: /etc/graylog/server/log4j2.xml;
Plugins: /usr/share/graylog-server/plugin;
Configuração JVM: /etc/default/graylog-server;
Message Journal files : /var/lib/graylog-server/journal;
Log files: /var/log/graylog-server/.

Elasticsearch

Configuração: /etc/elasticsearch;
Configuração JVM : /etc/default/elasticsearch;
Data files: /var/lib/elasticsearch/data;
Log files: /var/log/elasticsearch/.

MongoDB

Configuração: /etc/mongod.conf;
Data files: /var/lib/mongodb/;
Log files: /var/log/mongodb/.

Instalando Oracle JDK

Em primeiro lugar, execute apt upgrade para atualizar os pacotes do Ubuntu :

sudo apt  update && sudo apt  upgrade

Em seguida execute apt install para instalar Oracle JDK e outros pacotes:

sudo apt install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen

Instalando MongoDB

A instalação do MongoDB é bastante simples. Execute o apt-key para importar a GPG Key do MongoDB:

sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 2930ADAE8CAF5059EE73BB4B58712A2291FA4AD5

Em seguida adicione o repositório, atualize e execute apt install para instalação

echo "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.6 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.6.list
sudo apt-get update
sudo apt-get install -y mongodb-org

Após a instalação do mongodb habilite o serviço para iniciar durante startup:

sudo systemctl daemon-reload
sudo systemctl enable mongod.service

Em seguide inicie o serviço:

sudo systemctl start mongod.service 
sudo systemctl status mongod 
Active: active (running) since Wed 2018-11-07 16:52:30 UTC; 4s ago

Instalando Elasticsearch

GrayLog 2.4.x requer Elasticsearch 5.x para fazer o download e instalação execute os comandos abaixo:

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list
sudo apt-get update && sudo apt-get install elasticsearch

Após a instalação do elasticsearch precisamos descomentar a linha cluster.name e setar um nome para o cluster:

sudo vim /etc/elasticsearch/elasticsearch.yml
cluster.name: graylog-lab

Adicione nas últimas linhas do arquivo elasticsearch.yml as recomendações de segurança informado na documentação do Elasticsearch:

script.inline: false
script.stored: false
script.file: false

Em seguida, habilite o serviço para iniciar durante startup:

sudo systemctl daemon-reload
sudo systemctl enable elasticsearch.service

Em seguide inicie o serviço:

sudo systemctl restart elasticsearch.service 
sudo systemctl status elasticsearch 
Active: active (running) since Wed 2018-11-07 17:14:55 UTC; 4min 19s ago

Para testar o elasticsearch, execute curl na porta 9200:

curl -XGET 'http://localhost:9200'

Instalando GrayLog

“Chegou o momento esperado..”

Após ter feito a instalação do MongoDB e Elasticsearch, vamos iniciar a instalação do Graylog \o/. Em primeiro lugar, baixe pacote referente ao repositório do Graylog em seguida execute dpkg para instalar o pacote e apt install para instalar o graylog-server:

wget https://packages.graylog2.org/repo/packages/graylog-2.4-repository_latest.deb
sudo dpkg -i graylog-2.4-repository_latest.deb
sudo apt-get update && sudo apt-get install graylog-server

É necessário gerar um password random . Você pode gerar este password executando pwgen.

pwgen -s 96 1

Após gerar o password random, edite o arquivo /etc/graylog/server/server.conf e adicione em password_secret:

sudo vim /etc/graylog/server/server.conf
password_secret = YJBIXm0tGdLbjlkLokS8jMAebqvkN0hUW7M2PAkuuh5y7aL1G9nNTpu4GDIe5Iaqnw9tiBZ1lOgZar63yLe7vG6iWlTo01zW

Gere outra senha em formato shasum e adicionar em root_password_sha2( esta senha será do usuário admin). Onde estiver PASS_ROOT_SHA2 insira uma senha :

echo -n <PASS_ROOT_SHA2>  | shasum -a 256

Em seguida edite o arquivo /etc/graylog/server/server.conf e adicione a senha criada em root_password_sha2:

sudo vim /etc/graylog/server/server.conf
root_password_sha2 = 8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92

Após gerar as senhas referente ao root_password_sha2 e password_secret, adicione o IP do servidor nos paramêtros rest_listen_uri e web_listen_uri:

rest_listen_uri = http://192.168.33.12:9000/api/
web_listen_uri = http://192.168.33.12:9000/

Em seguida, habilite o serviço para iniciar durante startup:

sudo systemctl daemon-reload
sudo systemctl enable graylog-server.service

Depois, inicie o serviço:

sudo systemctl start graylog-server.service

Aguarde alguns instantes e acessa pelo Browser http://<ip_servidor>:9000, usuário: Admin e senha: gerada via shasum

Instalação do GrayLog finalizada.

O próximo passo é configurar o Graylog para receber mensagens do syslog.

Fonte:https://www.elastic.co/guide/en/elasticsearch/reference/5.5/modules-scripting-security.html
http://docs.graylog.org/en/2.4/pages/installation/os/ubuntu.html