Graylog es una poderosa herramienta de gestión de logs, utilizada para recopilar, indexar y analizar grandes cantidades de datos de registro en tiempo real. Su capacidad para proporcionar insights valiosos sobre la seguridad y el rendimiento del sistema la convierte en una elección ideal para administradores de sistemas y profesionales de seguridad de TI. En esta guía, explicaremos cómo instalar y configurar Graylog en AlmaLinux 9, paso a paso, de manera clara y accesible para principiantes.
Requisitos Previos
Antes de instalar Graylog, necesitas tener instalado Java, MongoDB, y Elasticsearch, ya que son componentes esenciales para el funcionamiento de Graylog.
Paso 1: Instalar Java
Graylog requiere Java para ejecutarse. Puedes instalar OpenJDK que es una opción gratuita y abierta.
- Instalar OpenJDK:
sudo dnf install java-11-openjdk-devel -y
Paso 2: Instalar MongoDB
MongoDB es la base de datos utilizada por Graylog para almacenar información de configuración y metadatos.
- Agregar el repositorio de MongoDB:
sudo tee /etc/yum.repos.d/mongodb-org.repo <<EOF
[mongodb-org-5.0]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/9/mongodb-org/5.0/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-5.0.asc
EOF
- Instalar MongoDB:
sudo dnf install mongodb-org -y
- Iniciar y habilitar MongoDB:
sudo systemctl start mongod
sudo systemctl enable mongod
Paso 3: Instalar Elasticsearch
Elasticsearch es utilizado por Graylog para el almacenamiento y la búsqueda de logs.
- Importar la clave GPG de Elasticsearch:
rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
- Agregar el repositorio de Elasticsearch:
sudo tee /etc/yum.repos.d/elasticsearch.repo <<EOF
[elasticsearch-7.x]
name=Elasticsearch repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
EOF
- Instalar Elasticsearch:
sudo dnf install elasticsearch -y
- Configurar Elasticsearch para Graylog:
Edita/etc/elasticsearch/elasticsearch.yml
y ajusta los siguientes parámetros:
cluster.name: graylog
action.auto_create_index: false
- Iniciar y habilitar Elasticsearch:
sudo systemctl daemon-reload
sudo systemctl enable --now elasticsearch
Paso 4: Instalar Graylog
- Descargar el paquete de Graylog:
sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-4.2-repository_latest.rpm
- Instalar Graylog Server:
sudo dnf install graylog-server -y
- Configurar Graylog:
Edita/etc/graylog/server/server.conf
y configura elpassword_secret
y elroot_password_sha2
. Estos valores son necesarios para la seguridad y el acceso a la interfaz de Graylog. - Iniciar y habilitar Graylog:
sudo systemctl start graylog-server
sudo systemctl enable graylog-server
Configuración del Firewall
Asegúrate de configurar el firewall para permitir el tráfico a los puertos utilizados por MongoDB, Elasticsearch y Graylog.
sudo firewall-cmd --add-port={9000/tcp,27017/tcp,9200/tcp} --permanent
sudo firewall-cmd --reload
Para aquellos que buscan un rendimiento optimizado y una gestión simplificada para desplegar y mantener sistemas como Graylog, los servicios de Linux SSD VPS de Shape.host son ideales. Shape.host ofrece VPS en la nube que proporcionan los recursos y la flexibilidad necesarios para manejar aplicaciones intensivas de datos, permitiendo a los usuarios centrarse en obtener insights valiosos de sus datos en lugar de preocuparse por la infraestructura subyacente. Shape.host garantiza un entorno seguro y de alto rendimiento, perfecto para desplegar aplicaciones avanzadas y exigentes.