Cómo instalar el administrador de registro del sistema Graylog en Ubuntu Server 20.04


Revisar registros en numerosos servidores puede ser una tarea ardua. Aprenda a simplificar eso con el servidor de monitoreo Graylog.

<a href = "https://tr4.cbsistatic.com/hub/i/r/2020/09/23/3e7446b6-3dd6-449f-8ed1-58422c4cbce8/resize/770x/c11904458b1c8c3769af45a7c7ed85d6/istockpg-1162361864.j = "_ blanco" componente de datos = "modalEnlargeImage" título de datos = "

"data-credit =" Imagen: iStockPhoto / maxkabakov "rel =" noopener noreferrer nofollow ">seguridad

Imagen: iStockPhoto / maxkabakov

Probablemente tenga algunos servidores Ubuntu ejecutándose en su centro de datos. ¿Cómo es la seguridad en esos sistemas? ¿Ha revisado los registros recientemente? Estos archivos de registro contienen información importante sobre la seguridad de sus sistemas. Revisar esos numerosos archivos de registro puede ser una tarea ardua, especialmente cuando tiene que verificar los archivos de registro en todos los sistemas de su red.

Menos mal que hay herramientas como Graylog disponible. Graylog es una plataforma de administración de registros de código abierto que se utiliza para el monitoreo de registros en sistemas asociados con una red. Graylog usa MongDB para almacenar información, por lo que es perfectamente capaz de escalar para satisfacer sus necesidades.

Graylog puede ayudarlo a recopilar, organizar, analizar y extraer datos. Con esa información en la mano, puede proteger y optimizar mejor sus servidores.

Instale Graylog en Ubuntu Server 20.04.

VER: Política de protección contra robo de identidad (TechRepublic Premium)

Lo que necesitarás

  • Una instancia de Ubuntu Server 20.04
  • Un usuario con privilegios de sudo

Cómo actualizar y actualizar Ubuntu

Lo primero que debemos hacer es actualizar y actualizar el servidor.

Nota: Si se actualiza el kernel, deberá reiniciar para que los cambios surtan efecto. Debido a esto, asegúrese de ejecutar la actualización en un momento en que sea posible reiniciar.

Para actualizar Ubuntu, inicie sesión en su servidor y ejecute los dos comandos siguientes:

sudo apt-get update
sudo apt-get upgrade -y

Cómo instalar Java

A continuación, necesitamos instalar la primera dependencia, Java. Para hacer esto, emita el siguiente comando:

sudo apt-get install openjdk-11-jre-headless -y

Cómo instalar y configurar Elasticsearch

Usaremos Elasticsearch para el almacenamiento de registros de máquinas fuera del servidor de alojamiento. Para instalar Elasticsearch, primero ejecute el comando:

sudo -s

Descargue e instale la clave GPG de Elasticsearch con el comando:

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add -

Agregue el repositorio de Elasticsearch con el comando:

echo "deb https://artifacts.elastic.co/packages/oss-6.x/apt stable main" | tee -a /etc/apt/sources.list.d/elastic-6.x.list

Actualice apt e instale Elasticsearch con los siguientes comandos:

apt-get update
apt-get install elasticsearch-oss -y

Ahora necesitamos hacer un par de cambios en el archivo de configuración de Elasticsearch. Abra el archivo en cuestión con el comando:

nano /etc/elasticsearch/elasticsearch.yml

En ese archivo, busque la línea que comienza con:

#cluster.name:

Cambia eso a:

cluster.name: graylog

En la parte inferior de ese archivo, agregue la siguiente línea:

action.auto_create_index: false

Guarde y cierre el archivo.

Inicie y habilite Elasticsearch con los siguientes comandos:

systemctl daemon-reload
systemctl start elasticsearch
systemctl enable elasticsearch

Cómo instalar MongoDB

Ahora instalaremos el servidor de la base de datos. Para instalar MongoDB, emita el comando:

apt-get install mongodb-server -y

Inicie y habilite la base de datos con los comandos:

systemctl start mongodb
systemctl enable mongodb

Salga del usuario root con el comando:

exit

Cómo instalar y configurar Graylog

Ahora es el momento de instalar Graylog. Debido a que Graylog no está disponible en los repositorios estándar, primero debemos descargar e instalar el paquete de repositorio necesario con los comandos:

sudo wget https://packages.graylog2.org/repo/packages/graylog-3.3-repository_latest.deb
sudo dpkg -i graylog-3.3-repository_latest.deb

Actualice apt e instale Graylog con los comandos:

sudo apt-get update -y
sudo apt-get install graylog-server -y

Se debe generar una contraseña de usuario secreta para Graylog. Haz esto con el comando:

sudo pwgen -N 1 -s 96

Asegúrese de copiar la cadena de caracteres generada, ya que los necesitará para el archivo de configuración de Graylog.

A continuación, genere una contraseña segura para que el usuario administrador de Graylog inicie sesión en la interfaz basada en web. Haz esto con el comando:

sudo echo -n PASSWORD | sha256sum

Donde PASSWORD es una contraseña segura. Asegúrese de copiar también la salida del comando anterior.

Abra el archivo de configuración de Graylog con el comando:

sudo nano /etc/graylog/server/server.conf

Busque la línea:

password_secret =

Pegue la contraseña de usuario que generó anteriormente, de manera que se vea así:

password_secret = STRING

Donde STRING es la cadena de contraseña.

A continuación, busque la línea:

root_password_sha2 =

Haz lo mismo con lo anterior, solo pega la contraseña segura que generaste.

Finalmente, busque la línea:

#http_bind_address = 127.0.0.1:9000

Cambie la línea anterior a:

http_bind_address = 127.0.0.1:9000

Guarde y cierre el archivo.

Inicie y habilite Graylog con los comandos:

sudo systemctl daemon-reload
sudo systemctl start graylog-server
sudo systemctl enable graylog-server

Cómo instalar y configurar NGINX

Finalmente, debemos instalar NGINX para que sirva como proxy inverso. Si tiene Apache instalado, asegúrese de detenerlo y deshabilitarlo con los comandos:

sudo systemctl stop apache2
sudo systemctl disable apache2

Instale NGINX con el comando:

sudo apt-get install nginx -y

Inicie y habilite NGINX con los comandos:

sudo systemctl start nginx
sudo systemctl enable nginx

Cree un nuevo archivo de configuración Graylog NGINX con el comando:

sudo nano /etc/nginx/sites-available/graylog.conf

En ese archivo, pegue lo siguiente:

server 
    listen 80;
    server_name NAME;
    location / 
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-Host $host;
      proxy_set_header X-Forwarded-Server $host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Graylog-Server-URL http://$server_name/;
      proxy_pass       http://127.0.0.1:9000;
    

Donde NOMBRE es la dirección IP o el dominio de su servidor Graylog.

Guarde y cierre el archivo.

Habilite el sitio con el comando:

sudo ln -s /etc/nginx/sites-available/graylog.conf /etc/nginx/sites-enabled/

Reinicie NGINX con el comando:

sudo systemctl restart nginx

Cómo acceder a Graylog

Abra un navegador web y apúntelo a http: // IP_Servidor (donde SERVER_IP es la dirección IP o el dominio de su servidor Graylog). Debería ser recibido por la página de inicio de sesión de Graylog (Figura A).

Figura A

<a href = "https://tr3.cbsistatic.com/hub/i/r/2020/09/24/11134ac0-a42e-4c79-ac9f-a637c03ff4ff/resize/770x/3634f164343bb0f9cfd42ea27e3f9774/grayloga.jpg" target = " _blank "componente de datos =" modalEnlargeImage "título de datos ="

Iniciando sesión en Graylog.

"data-credit =" "rel =" noopener noreferrer nofollow ">grayloga.jpg "src =" https://tr3.cbsistatic.com/hub/i/r/2020/09/24/11134ac0-a42e-4c79-ac9f-a637c03ff4ff/resize/770x/3634f164343bb0f9cfd42ea27e3f9774/grayloga.jpg

El nombre de usuario de autenticación será admin y la contraseña será la contraseña que utilizó al generar la contraseña segura con el comando echo -n CONTRASEÑA | sha256sum.

Y eso es todo lo que hay que hacer para instalar Graylog. Puede comenzar a hurgar en el tablero para ponerse al día con este poderoso sistema de registro.

Ver también



Enlace a la noticia original