É a primeira vez que você ouve falar em Graylog? De ante mão, não se preocupe: o objetivo deste post é apresentar uma abordagem bem didática. Para isso, iniciarei a pauta falando um pouco sobre arquivos de extensão LOG e, posteriormente, sobre a importância em gerenciá-los.
Os arquivos de extensão LOG tem a finalidade de registrar eventos que o sistema considera relevantes — ou processos determinados pelo próprio usuário. A partir dos dados organizados no LOG, nós podemos:
- monitorar atividades;
- analisar tentativas de invasões;
- estudar soluções para um problema; e
- investigar históricos de navegação pela rede.
Por exemplo, se numa auditoria interna o perito faz uma varredura pelos registros para identificar ações que violam as políticas de segurança, os arquivos LOG são fontes ricas de informação, pois tudo o que aconteceu no ambiente digital da empresa foi automaticamente anotado pelo sistema.
É aí que entra a questão do gerenciamento desse tipo de dado. Devido ao caráter administrativo e sigiloso dos conteúdos de cada registro, é conveniente mantê-los organizados e à disposição da equipe. Nesse contexto, o Graylog, como veremos a seguir, oferece os recursos necessários para isso.
Conhecendo o Graylog
O Graylog é uma ferramenta de código aberto cuja função é extrair dados de LOG dos servidores. As informações coletadas são exibidas em um dashboard, ou seja, o usuário as analisa via interface web.
Um dos fatores que colocam o propósito do Graylog em prática é a sua estrutura. Quanto a isso, cabe ressaltar que o programa é integrado a outros dois elementos: banco de dados e servidor de buscas.
O banco de dados, obviamente, exerce a função de armazenamento e disponibilização dos arquivos LOG. Já o servidor de buscas (geralmente, usamos um programa chamado Elasticsearch), possibilita a pesquisa de arquivos.
Ambos interagem com o servidor do Graylog, o qual sincroniza seus recursos e dados ao dashbobard, resultando numa excelente solução para auxiliar no monitoramento de rede.
Instalando o Graylog no Ubuntu
Devido à estrutura de operação do Graylog, a sua instalação tem alguns pré-requisitos, como um banco de dados e o utilitário Elasticsearch devidamente configurados. A começar pelo database, recomendo que utilize o MongoDB — clique no link e aprenda a instalá-lo.
Antes de instalar o Elasticsearch — nesse tutorial, trabalharemos com a versão 6.x —, certifique-se de que a versão 8 do JDK (Java Developer Kit) esteja instalada no sistema. Se a instalação é necessária, digite os comandos no terminal:
sudo apt-get update && sudo apt-get upgrade
sudo apt install apt-transport-https openjdk-8-jre-headless
Agora, siga as instruções de instalação do Elasticsearch:
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add
echo "deb https://artifacts.elastic.co/packages/6.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-6.x.list
sudo apt-get update && sudo apt-get install elasticsearch-oss
O próximo passo é configurar o Elasticsearch por meio do arquivo /etc/elasticsearch/elasticsearch.yml, editando a linha nº 17 conforme a seguinte instrução:
cluster.name: graylog
Para concluir, reinicie o Elasticsearch, ajustando a sua inicialização automática:
sudo systemctl daemon-reload
sudo systemctl enable elasticsearch.service
sudo systemctl restart elasticsearch.service
O momento de instalar o Graylog finalmente chegou. Faça isso digitando a sequência de comandos:
wget https://packages.graylog2.org/repo/packages/graylog-3.0- repository_latest.deb
sudo dpkg -i graylog-3.0-repository_latest.deb
sudo apt-get update && sudo apt-get install graylog-server
Depois de concluir a etapa anterior, configure o arquivo /etc/graylog/server/server.conf e, então, adicione informações às linhas password_secret e root_passowrd_sha2. De acordo com a documentação, o usuário deve utilizar o seguinte comando para criar a senha root:
echo -n "Senha: " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1
Concluído? Então o Graylog acaba de ser instalado em sua máquina.
Quatro exemplos de uso do Graylog
Vamos reforçar as possibilidades que o Graylog nos oferece? Pois bem, neste tópico, apresento uma pequena série de atividades que podemos fazer usando o programa, desde opções de apresentação de dados à aplicação da análise em processos comuns de trabalho.
Verificar a quantidade de falhas em uma aplicação
Uma das melhores vantagens em analisar registros de eventos é a inteligência agregada aos processos de trabalho. Por exemplo, quando a equipe de desenvolvedores se responsabiliza pela manutenção de um produto de software, não é produtivo tentar encontrar falhas sem o auxílio de ferramentas de diagnóstico e relatórios técnicos.
Portanto, em vez de basear-se na própria percepção, o Graylog retorna, instantaneamente, a quantidade de erros ocorridos na execução do programa. Com isso, a equipe tem acesso imediato ao problema, prontamente o soluciona e, então, disponibiliza a atualização.
Centralizar o registro de dados
Vamos supor que você tenha sido contratado por uma grande empresa, a qual enfrenta alguns desafios para melhorar o desempenho do departamento de TI e da própria infraestrutura. Ao conhecer as instalações, você se vê diante de vários servidores que devem ser monitorados um por um.
Se a ideia é executar varreduras em busca de erros, falhas e brechas de segurança, é fácil imaginar o quanto a rotina seria exaustiva. Uma ótima saída para poupar tempo e esforços é a centralização do registro de dados, isto é, reunir os LOGs de todos os servidores em um só lugar.
Felizmente, o Graylog nos traz essa possibilidade. Graças aos seus recursos, você conseguiria, no cenário acima, implementar uma central específica para gerenciar os arquivos LOG, que passariam a ser salvos automaticamente em um único diretório.
Visualizar gráficos empilhados
É quase impossível de se imaginar uma análise de dados sem o uso de gráficos para fazer comparativos, não é mesmo? Nesse sentido, o dashboard do Graylog dispõe de ótimos recursos de apresentação gráfica, como os chamados satcked charts (gráficos empilhados).
Na própria documentação da ferramenta há uma situação típica que enfatiza a utilidade dos gráficos empilhados. Imaginemos a comparação entre a quantidade de visitantes em dois ou mais sites. Se os gráficos estiverem posicionados lado a lado, a conclusão da análise é imediata.
Porém o Graylog vai além da representação gráfica diferenciada: ele realiza cálculos para apresentar informações estatísticas relevantes. Logo, podemos extrair vários destaques e apontamentos em um único relatório.
Registrar processos de testes e desenvolvimento de software
Ao desenvolver aplicações de alta complexidade, a rotina do programador tende a ser um pesadelo quando falhas são constatadas, porém não identificadas. Somente pelo fato de analisar centenas (ou milhares) de linhas de código, a produtividade já é comprometida.
Como resolver o problema? É comum o Graylog surgir como solução, mais precisamente por ser um instrumento de monitoramento, o que nos permite registrar eventos durante as etapas de desenvolvimento e testes de software. Ou seja, as falhas são mapeadas e as correções, mais ágeis e eficientes.
Percebeu o quão útil é o gerenciamento de LOG em redes corporativas? Com os exemplos de uso do Graylog colocados acima, conclui-se que a ferramenta aprimora, significativamente, diversos tipos de processos executados via sistema — fora o acréscimo de segurança.
Gostou do que aprendeu sobre o Graylog até aqui? Não seria ainda melhor começar a utilizá-lo a nível profissional e, assim, incrementar o currículo? Pois saiba que isso é possível: acesse agora mesmo a página Profissionais Linux e descubra como!
