Parseando Logs de Zimbra con Graylog y Mostrándolos en Grafana 2da Parte

En este artículo vamos a parsear los log generados por un servidor Zimbra. Ya tenemos funcionando nuestro servidor graylog y empezaremos a preparar el terreno para capturar dichos logs. Lo primero que haremos es hacer ajustes en la configuración de graylog.

Geo-Location Processor

Por defecto graylog no trae una base datos para la geo localizacion por lo que debemos descargarla de MaxMind City databases .

Seguidamente extraemos el contenido del fichero

y copiamos el fichero GeoLite2-City.mmdb a /etc/graylog/server . Notese que la carpeta que se crea al descompactar GeoLite2-City.tar.gz puede diferir de la del tutorial en la fecha.

Ahora en la web de graylog debemos activar el Geo-Location Processor y vamos a system/Configuration. Podemos apreciar que esta deshabilitado, presionamos el boton Update.

Lo activamos marcando en Enable Geo-Location porcessor lo demas lo dejamos por defecto. En la medida que vengan mensajes que contengan ips los procesera obteniendo datos adicionales como las coordenadas, código pais, nombre de ciudad.

Message Processors Configuration

Debemos tener un orden de procesamiento que el cual nos permita obtener lo que deseamos a la hora de parsear los mensajes de logs obtenidos desde los inputs. Para ver este orden nos vamos a system/Configuration y en Message Processors Configuration presionamos el boton Update. Así es como viene por defecto:

El orden de procesos sera:

  1. AWS Instance Name Lookup
  2. Message Filter Chain que procesa los inputs
  3. Pipeline Procesos si queremos tener a los campos estáticos creados por los extractores
  4. Geo-Location Processor para procesar las ips descubiertas agregando campos asociados a la misma como localizacion geográfica, codigo del pais y nombre la de ciudad.

Cambiando el orden de procesamiento quedaría así:

Salvamos esta configuración.

Indices

Graylog tiene su propio índice que genera por defecto que es graylog y en system/Indices podemos apreciarlo.


Creamos un nuevo índice para Zimbra (Create index set) con  Index shard 4 y Index replicas 0, la rotación del indice del tipo Index time y la retención puede ser de borrado, clausura de un indice de acuerdo al numero máximo de indices o no hacer nada. En mi caso lo puse a rotar mensual y que elimine los indices pasados los 12 meses.


Este indice se crea de manera inmediata


y con cerebro podemos comprobarlo

Content Pack

Para facilitarles la configuracion de Graylog generamos un Content Pack para zimbra, en un git de logstash. El cual incluye Input de tipo beats, extractores, los patrones antes mencionados y por último el stream para que el input lo alamacene en indice que hemos creado para zimbra. Para descargar estos ficheros desde un PC con linux solo tendremos que instalar git para clonar el repositorio.

y seguidamente lo clonamos

Si estamos desde un pc con Windows solo accedemos aqui. Y luego le damos al boton de clonar o descargar.

En Linux tendremos la carpeta Zimbra-Graylog y en Windows un fichero zip llamado Zimbra-Graylog-master que debemos descompactar. En cualquiera de los 2 casos abriremos la carpeta Content Pack y dentro encontraremos  el fichero content_pack_zimbra.json que es el que subiremos a Graylog.

Importamos ahora el fichero de la carpeta Content Pack y para ellos seleccionamos en  System / Content Packs la opción Import content packs para subir el archivo. Selecionamos Examinar y subimos el json. Quiero alertar que si le damos varias veces al boton de Upload nos creara varias veces las configuraciones, asi que sean cuidadosos y esperen por el aviso verde que sale alertando que todo esta OK.

Como vemos lo agrega a la lista

Ahora seleccionamos el content pack Zimbra.

Y lo aplicamos

Streams

Con el Pack ya instalado todo es muy facil. Editamos el stream de zimbra en Stream para asociarle el indice que creamos inicialmente (Zimbra Indice). Marcamos que elimine las coincidencias para el stream por defecto All message para que solamente lo almacene en el índice de zimbra

Cerebro

Por  defecto graylog por cada indice que se crea generá su propia plantilla y la aplica cada vez que el indice rota. Si queremos nuestras propias plantillas debemos crearlas en el mismo elasticsearch. Aquí agregaremos el campo real_timestamp que nos será util a la hora de usar grafana y también convertimos a tipo geoip los campos src_relayip_geolocation y dst_relayip_geolocation a tipo geo_point para poder usarlos en grafana en los paneles de World Map ya que graylog no lo hace.

Y

En el Content Pack que bajamos ya esta la plantilla personalizada de la que hablamos y que vamos a importar a elasticsearch a través de Cerebro. Vamos a more /index templates

Creamos un template nuevo

En el nombre lo rellenamos con zimbra_custom y abrimos la carpeta Elasticsearch Zimbra Template (del Content Pack) que contiene el archivo con el template. Lo editamos y pegamos su contenido aquí.

Y seguidamente presionamos el botón create.

Ahora pararemos el servicio graylog para proceder a eliminar el índice mediante cerebro.

En cerebro nos paramos encima del indice y desplegamos las opciones y seleccionamos delete index.

Arrancamos nuevamente el servicio de graylog y este creará el indice con dicha plantilla.

Ahora pasamos a configurar nuestro Zimbra paraque envie sus logs a nuestro Graylog configurado

Zimbra

En el servidor zimbra instalaremos filebeat que es el servicio que le entregará los logs al graylog a través del tipo beats del input anteriormente declarado. Ver la compatiblidad del producto ya que tenemos que tener en cuenta que graylog es compatible con elastic 5.6.x máximo. Pueden usar la version de 5.6.4 de filebeat que la ultima version 5.
Lo descargamos:

Ya descargado lo instalamos.

Ahora estamos listos para configurar el filebeat en el equipo remoto o sea el servidor de correo zimbra. En el servidor de correo editamos el fichero filebeat.yml.

Solo modificaremos la sesiones de Filebeat prospectors y Logstash output.

Después de modificado reiniciamos el servicio de filebeat

Ahora en graylog seleccionamos el stream de zimbra  y ya veremos las como va parseando los mensajes de logs creando los campos

Ya desplegando un mensaje de log podemos ver el campo real_timestamp generado por el pipeline que creamos

Grafana

Los dashboards de graylog no ofrecen las posibilidades a mi modo de ver que las que tiene grafana por eso nuestro dashboard lo haremos en grafana

Creamos el datasource en grafana el cual nombraremos Zimbra-graylog

 

Comparto con ustedes un dashboard prediseñado en el  sitio de oficial grafana el cual podra importar. Antes lea las instrucciones e importe de la siguente manera.

 

Seleccionamos Import dashboard

Subimos el fichero descargado Upload .json file y lo asociamos al datasource creado para el.

Ya podemos ver el dashboard en acción.

 

Espero les sea de utilidad.

(Visited 315 times, 1 visits today)

Sé el primero en comentar

Dejar una contestacion

Tu dirección de correo electrónico no será publicada.


*