Graylog2 permite centralizar logs de diversos dispositivos y es muy útil cuando se necesita encontrar la solución a problemas presentados en todo tipo de Infraestructura informática.

En esta entrada describiré los distintos pasos para realizar la instalación de Graylog2 usando el Appliance de máquina virtual disponible en su sitio web. Existen otras alternativas de instalación de Graylog2 pero esta es la más cómoda para iniciar el montaje de un concentrador de logs.

En concreto, se usará como virtualizador Hyper-V de Microsoft, pero el tutorial sirve para otras plataformas de virtualización.

Paso 1. Descargar archivos

Descargar Virtual Appliance en formato OVA https://packages.graylog2.org/appliances/ova https://packages.graylog2.org/releases/graylog-omnibus/ova/graylog-2.2.2-1.ova

Descargar VirtualBox (solo para convertir archivo a vhdx, único soportado por Hyper-V) https://www.virtualbox.org/ e instalar VirtualBox.

(Descargar VirtualBox solo es necesario si se quiere convertir la imagen de la maquina virtual a otro formato como vhd/vhdx que son los únicos soportados por Hyper-V, si se usará otro ambiente virtualizador como VirtualBox, KVM, VMware se debe importar de forma normal el archivo .ova que creará la máquina virtual automáticamente e ir directo al Paso 4)

Paso 2. Convertir a VHDX

Renombrar la imagen graylog-2.2.2-1.ova a extensión .tar quedando graylog-2.2.2-1.tar Abrir el archivo graylog.2.2.2-1.tar y descomprimir el archivo graylog-disk1.vmdk

Dentro del archivo graylog.2.2.2-1.tar se encuentran 3 archivos distintos, el archivo graylog-disk1.vmdk es el disco duro del appliance de máquina virtual y es el archivo más importante.

El archivo graylog.ovf es un archivo con la descripción de del appliance de máquina virtual, revisando este archivo se encuentra la definición de una tarjeta de red vmxnet3, 2 CPU virtuales, 4 GB de RAM y una unidad de almacenamiento (graylog-disk1.vmdk) de máximo 20 GB.

El último archivo es graylog.mf es un archivo con información del disco con el has en SHA1, solo usado para comprobar la integridad del archivo.

Ejecutar el comando de VirtualBox, VBoxManage convirtiendo el archivo a .vhd. Ahora requerimos convertir el archivo .vhd a .vhdx

VBoxManage clonehd -format vhd graylog-disk1.vmdk graylog-disk1.vhd
0%...10%...20%...30%...40%...50%...60%...70%...80%...90%...100%
Clone medium created in format 'vhd'. UUID: 6c3f2e96-6ab2-4b30-aef9-91585acc3d75

Con esto se obtendrá el archivo .vhd, luego se requiere convertir a formato .vhdx (es el formato usado por las versiones recientes de Hyper-V).

Se requiere abrir el programa Hyper-V Manager en el servidor de Hyper-V o el cliente con la consola de Hyper-V instalada, luego ir a la sección Action → Edit Disk…

Luego continuar con el asistente y seleccionar el archivo graylog-disk1.vhd y continuar con el asistente con el botón Next >

En la siguiente pantalla se debe seleccionar la opción Convert

En las opciones de conversión, seleccionar VHDX

En el tipo de tamaño se puede seleccionar cualquier opción, en este caso se usa la opción Dynamically expanding para hacer mejor uso del almacenamiento disponible.

En la ventana de destino se debe indicar la ruta y el nombre del archivo convertido (graylog-disk1.vhdx) y continuar con la opción Next >

Una vez se llega a la pantalla de resumen, verificar las opciones y empezar la conversión con el botón Finish

Una vez finalizado se obtendrá el archivo graylog-disk1.vhdx que se usará para crear la máquina virtual.

Paso 3. Creación de máquina virtual

Según la descripción del archivo, los requerimientos mínimos para el Appliance de Graylog2 es de 4 GB de RAM y 2 CPU.

Para esto se creará la máquina con estas características o más dependiendo de la cantidad de logs que se configuraran como destino al servidor de logs.

Para tener en cuenta, en el asistente de creación de máquina virtual, en la sección de almacenamiento, se debe mover el archivo graylog-disk1.vhdx previamente al destino final de la máquina virtual y seleccionar este archivo como un disco existente para la creación de la máquina virtual.

Paso 4. Finalización de configuración de máquina virtual

El Appliance usado por Graylog2 usa como distribución de Linux la versión de Ubuntu 14.04.5. Una vez iniciada la máquina virtual el servicio iniciará de forma automática y se podrá ingresar a través de la dirección http://ip_de_servidor/

Teniendo en cuenta esto, realizaremos unos cambios y configuraciones si son necesarios. Para empezar, el usuario por defecto para ingresar es ubuntu y la contraseña también es ubuntu.

4.1. Error de red

Si en la red en la que se creó la máquina virtual no esta configurado un servicio DHCP, al iniciar la máquina virtual se tendrá obtendrá el error

Your appliance came up without a configurated IP Address. Graylog is probably not running correctly!.

Para solucionar esto se debe definir una IP fija en el servidor editando el archivo /etc/network/interfaces con los datos de la red en la que se encuentra el servidor.

sudo nano /etc/network/interfaces

auto eth0
iface eth0 inet static
    address 10.0.3.100
    netmask 255.255.255.0
    gateway 10.0.3.1

Tambien se requiere editar el archivo /etc/resolvconf/resolv.conf.d/base con la información de los servidores de DNS deseados.

sudo nano /etc/resolvconf/resolv.conf.d/base

nameserver 10.80.3.1
nameserver 8.8.8.8

Con la configuración de red correcta, es necesario reactivar la tarjeta de red y hacer uso del comando graylog-ctl (solo disponible en el formato Appliance de Graylog) para que la instalación de Graylog2 reconozca los cambios de red y el servicio inicie de forma correcta.

sudo ifup eth0
sudo graylog-ctl reconfigure

4.2. Ingresar de forma remota a la máquina virtual por SSH

Por defecto, el appliance cuenta con el servicio SSH instalado y activo por defecto, para iniciar sesión se debe usar un cliente SSH (putty sobre Windows, ssh sobre Linux)

ssh 10.0.3.100 -l ubuntu

4.3. Cambiar la contraseña del usuario por defecto en Linux

Si el Appliance se va a usar para un ambiente de producción, se recomienda realizar el cambio de contraseña con el comando:

ubuntu@graylog:~$ sudo passwd ubuntu
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully

4.4. Cambiar la contraseña del usuario admin por defecto de Graylog2

Si el Appliance se va a usar para un ambiente de producción, se recomienda realizar el cambio de contraseña del usuario admin de la consola web de Graylog con los comandos:

sudo graylog-ctl set-admin-password <password> sudo graylog-ctl reconfigure

4.5. Configurar servicio de correo electrónico

Para el envio de correos desde Graylog2 para alertas u otros objetivos se requiere definir el servidor smtp usando los comandos:

sudo graylog-ctl set-email-config <smtp server> [--port=<smtp port> --user=<username> --password=<password> --from-email=<sender-address>]
sudo graylog-ctl reconfigure

4.6. Definir zona horaria

Es muy recomendable configurar la zona horaria que corresponda a nuestro ambiente para no confundirnos al momento de analizar nuestros logs. Para realizar esto se deben usar los siguientes comandos:

sudo graylog-ctl set-timezone <zone acronym>
sudo graylog-ctl reconfigure

El campo <zone acronym> se usa una zona horaria según el formato Joda-Time http://www.joda.org/joda-time/timezones.html

4.7. Habilitar acceso SSL/TLS

Por seguridad al momento de acceder a la interfaz web, se puede configurar el acceso seguro usando SSL/TLS con los comandos

sudo graylog-ctl enforce-ssl
sudo graylog-ctl reconfigure

Una vez ejecutados estos comandos, se podrá iniciar sesión a la consola web desde: https://ip_de_servidor

4.8. Actualizar el Sistema Operativo

Existen comandos para actualizar Graylog2, pero esto no actualiza los paquetes nativos de Ubuntu. Para realizar actualización del Sistema Operativo se puede usar el siguiente comando:

sudo apt update && sudo apt upgrade

4.9. Cambio de nombre de servidor

Por defecto el servidor tiene el nombre graylog, para poder renombrarlo se debe hacer uso del comando:

sudo hostnamectl set-hostname nombre_servidor

Y luego editar tambien el archivo /etc/hosts

sudo nano /etc/hosts

Paso 5. Ingreso a interfaz de Graylog2

Para iniciar sesión en la interfaz de Administración de Graylog2 se debe ingresar desde un navegador soportado (Firefox 45+, Chrome 50+, IE 11, Edge 25+, Safari 9+) usando la IP definida por DHCP o de manera estática: http://ip_de_servidor

Si se habilitó el acceso por SSL/TLS se debe usar la dirección https://ip_de_servidor . Al hacerlo se presentará una advertencia del certificado dado que se encuentra firmado por el mismo servidor. En Firefox se puede agregar una excepción permanente para continuar.

Fuentes:

• https://developerschallenges.com/2016/06/01/how-to-run-graylog-on-ubuntu-server-in-hyper-v/
• http://docs.graylog.org/en/2.2/pages/installation/virtual_machine_appliances.html
• http://docs.graylog.org/en/2.2/pages/configuration/graylog_ctl.html
• http://blog.worldofjani.com/?p=991
• https://sometechthings.wordpress.com/2015/08/31/graylog-vm-setup-start-to-finish/
• https://askubuntu.com/questions/87665/how-do-i-change-the-hostname-without-a-restart
• https://askubuntu.com/questions/143819/how-do-i-configure-my-static-dns-in-interfaces