O Graylog é uma ferramenta de gerenciamento de logs de código aberto que pode ser usada para coletar, processar e armazenar logs de diferentes fontes. Este artigo descreve como integrar os logs do Ubuntu no Graylog.

Antes de começar a integrar o Graylog com o Ubuntu, você precisará ter uma instância do Graylog instalada e configurada. Você também precisará de acesso root ao servidor Ubuntu onde os logs serão coletados.

Criação do token no Graylog

Para permitir que o Ubuntu envie logs para o Graylog, você precisará criar um token de acesso no Graylog. Siga os passos abaixo para criar um token:

1. Faça login no Graylog.
2. Vá em “System” e selecione “Authentication”.
3. Selecione “Tokens” na barra lateral esquerda.
4. Clique em “Create Token”.
5. Dê um nome para o token e selecione as permissões apropriadas para o token. Recomenda-se selecionar apenas as permissões necessárias para a integração do Ubuntu.
6. Clique em “Create” para criar o token.

Anote o valor do token criado, pois você precisará dele posteriormente para configurar a autenticação no Ubuntu.

Configurando a autenticação no Ubuntu

Para enviar logs do Ubuntu para o Graylog, você precisará configurar o rsyslog para usar o protocolo GELF e autenticar com o token do Graylog. Siga os passos abaixo para configurar o Ubuntu:

Abra o arquivo de configuração do rsyslog em um editor de texto:

sudo nano /etc/rsyslog.conf

Procure pela linha que contém a seguinte configuração:

#module(load="imudp")
#input(type="imudp" port="514")

Adicione as seguintes linhas ao final do arquivo de configuração do rsyslog:

$template GRAYLOG_GELF, "udp://<graylog-server-ip>:12201;gelf"
*.* @GRAYLOG_GELF;token=<token-do-graylog>

Substitua <graylog-server-ip> pelo endereço IP do servidor do Graylog e <token-do-graylog> pelo token que você criou anteriormente. Essas linhas direcionarão todos os logs para o Graylog usando o protocolo GELF.

Salve e saia do editor de texto.

Reinicie o rsyslog para que as mudanças tenham efeito:

sudo systemctl restart rsyslog

Substitua <graylog-server-ip> pelo endereço IP do servidor do Graylog e <token-do-graylog> pelo token que você criou anteriormente. Essas linhas direcionarão todos os logs para o Graylog usando o protocolo GELF.

Depois de seguir esses passos, o Ubuntu estará configurado para enviar logs para o Graylog. Você pode verificar se a configuração está funcionando corretamente verificando o Graylog e procurando por logs vindos do Ubuntu.

Conclusão

Integrar logs do Ubuntu no Graylog é uma maneira útil de centralizar logs e simplificar o gerenciamento de logs em um ambiente de TI. Ao seguir os passos acima, você poderá enviar logs do Ubuntu para o Graylog usando o protocolo GELF e autenticando com um token.