Graylog es una poderosa herramienta de gestión de logs, utilizada para recopilar, indexar y analizar grandes cantidades de datos de registro en tiempo real. Su capacidad para proporcionar insights valiosos sobre la seguridad y el rendimiento del sistema la convierte en una elección ideal para administradores de sistemas y profesionales de seguridad de TI. En esta guía, explicaremos cómo instalar y configurar Graylog en AlmaLinux 9, paso a paso, de manera clara y accesible para principiantes.

Requisitos Previos

Antes de instalar Graylog, necesitas tener instalado Java, MongoDB, y Elasticsearch, ya que son componentes esenciales para el funcionamiento de Graylog.

Paso 1: Instalar Java

Graylog requiere Java para ejecutarse. Puedes instalar OpenJDK que es una opción gratuita y abierta.

• Instalar OpenJDK:

   sudo dnf install java-11-openjdk-devel -y

Paso 2: Instalar MongoDB

MongoDB es la base de datos utilizada por Graylog para almacenar información de configuración y metadatos.

1. Agregar el repositorio de MongoDB:

sudo tee /etc/yum.repos.d/mongodb-org.repo <<EOF
[mongodb-org-5.0]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/9/mongodb-org/5.0/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-5.0.asc
EOF   

2. Instalar MongoDB:

   sudo dnf install mongodb-org -y

3. Iniciar y habilitar MongoDB:

   sudo systemctl start mongod
   sudo systemctl enable mongod

Paso 3: Instalar Elasticsearch

Elasticsearch es utilizado por Graylog para el almacenamiento y la búsqueda de logs.

1. Importar la clave GPG de Elasticsearch:

   rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

2. Agregar el repositorio de Elasticsearch:

sudo tee /etc/yum.repos.d/elasticsearch.repo <<EOF
[elasticsearch-7.x]
name=Elasticsearch repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
EOF
 

3. Instalar Elasticsearch:

   sudo dnf install elasticsearch -y

4. Configurar Elasticsearch para Graylog:
   Edita /etc/elasticsearch/elasticsearch.yml y ajusta los siguientes parámetros:

   cluster.name: graylog
   action.auto_create_index: false

5. Iniciar y habilitar Elasticsearch:

   sudo systemctl daemon-reload
   sudo systemctl enable --now elasticsearch

Paso 4: Instalar Graylog

1. Descargar el paquete de Graylog:

   sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-4.2-repository_latest.rpm

2. Instalar Graylog Server:

   sudo dnf install graylog-server -y

3. Configurar Graylog:
   Edita /etc/graylog/server/server.conf y configura el password_secret y el root_password_sha2. Estos valores son necesarios para la seguridad y el acceso a la interfaz de Graylog.
4. Iniciar y habilitar Graylog:

   sudo systemctl start graylog-server
   sudo systemctl enable graylog-server

Configuración del Firewall

Asegúrate de configurar el firewall para permitir el tráfico a los puertos utilizados por MongoDB, Elasticsearch y Graylog.

sudo firewall-cmd --add-port={9000/tcp,27017/tcp,9200/tcp} --permanent
sudo firewall-cmd --reload

Para aquellos que buscan un rendimiento optimizado y una gestión simplificada para desplegar y mantener sistemas como Graylog, los servicios de Linux SSD VPS de Shape.host son ideales. Shape.host ofrece VPS en la nube que proporcionan los recursos y la flexibilidad necesarios para manejar aplicaciones intensivas de datos, permitiendo a los usuarios centrarse en obtener insights valiosos de sus datos en lugar de preocuparse por la infraestructura subyacente. Shape.host garantiza un entorno seguro y de alto rendimiento, perfecto para desplegar aplicaciones avanzadas y exigentes.