Se trata de un sistema de gestión de logs con el cual podremos añadir las maquinas que precisemos, podemos tener tantas maquinas como necesitemos.

Primero vamos a preparar una maquina Linux con Debian 9, la cual es la ultima version estable.

Añadimos los repositorios backports de Debian Jessie

Para añadir dichos repositorios, podemos o editar el fichero /etc/apt/source.list o bien con el siguiente comando:

echo deb http://ftp.debian.org/debian jessie-backports main > /etc/apt/sources.list.d/backports.list

Una vez añadido el repositorio actualizamos los repositorios y el sistema apt update && apt upgrade

Instalar las dependencias necesarias

Una vez añadido los repositorios de backports tendremos que instalar las dependencias primero instalamos lo siguiente:

apt install -t jessie-backports apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen
Info! Es importante especificar el repositorio jessie-backports.

Instalación base de datos no relacional

Ahora vamos a instalar una base de datos no relacional como es mongoDB apt install mongodb-server

Instalar Elasticsearch

Ahora procederemos a instalar Elasticsearch, el cual vamos a realizar un proceso similar al anterior vamos a añadir la clave publica del repositorio y lo vamos a añadir, justo después actualizaremos e instalaremos el paquete:

wget -qO – https://packages.elastic.co/GPG-KEY-elasticsearch |  apt-key add –
echo “deb https://packages.elastic.co/elasticsearch/2.x/debian stable main” |  tee -a /etc/apt/sources.list.d/elasticsearch-2.x.list
apt update && apt install elasticsearch

Configuración de elasticsearch

Ahora vamos a configurar elasticsearch para ello vamos a editar el fichero /etc/elasticsearch/elasticsearch.yml

Nos dirigimos a la linea cluster.name, si estuviera comentada la descomentamos sino hacemos que quede asi:

cluster.name: graylog
Info! Se trata del nombre del cluster puede ser cualquier nombre significativo para cada usuario.

Iniciamos elasticsearch

Y por ultimo iniciamos el servicio, dado que se encuentra parado por defecto.

systemctl daemon-reload
systemctl enable elasticsearch.service
systemctl restart elasticsearch.service

Instalacion graylog

El siguiente paso es la instalacion de graylog:

wget https://packages.graylog2.org/repo/packages/graylog-2.2-repository_latest.deb
dpkg -i graylog-2.2-repository_latest.deb
apt-get update && apt-get install graylog-server

Configuración graylog

Vamos a añadir una contraseña para ello podemos crear una aleatoria o poner una que tu consideres buena para este proceso:

pwgen -N 1 -s 96

Esto genera una clave la cual vamos a añadir despues en el apartado password_secret

Una vez generada la copiamos para generar la root_password_sha2

echo -n [TUPASSWORD] | sha256sum
Info! La contraseña para acceder al panel web sera [TUPASSWORD].

Configurar fichero /etc/graylog/server/server.conf

Ahora editamos el fichero de configuración y agregamos las dos claves generadas en sus respectivos campos.

Por ultimo vamos a configurar graylog, tanto elasticsearch como las interfaces de red en las cuales va a funcionar.

#Valor segun los nodos que vayas a utilizar
elasticsearch_shards = 1

#Nombre del cluster
elasticsearch_cluster_name = graylog

#Direcciones ip de la maquina servidor
rest_listen_uri = http://[IP_Servidor]:12900/
rest_transport_uri = http://[IP_Servidor]:12900/
web_listen_uri = http://[IP_Servidor]:9000/

Reiniciamos los servicios

systemctl daemon-reload
systemctl enable graylog-server.service
systemctl start graylog-server.service