eco Principiante Tutorial/Cómo hacer

Despliegue de Grafana

calendar_month Jun 07, 2026 schedule 23 min de lectura visibility 50 vistas

Развёртывание Grafana Loki для централизованного логирования на VPS: Promtail, Nginx, Systemd

info

¿Necesitas un servidor para esta guía? Ofrecemos servidores dedicados y VPS en más de 50 países con configuración instantánea.

¿Necesitas un VPS para esta guía?

Explore otras opciones de servidores dedicados en

Planes VPS arrow_forward Dedicado

Despliegue de Grafana Loki para el registro centralizado en un VPS: Promtail, Nginx, Systemd

TL;DR

En esta guía detallada, configuraremos paso a paso un sistema centralizado de recopilación y análisis de logs en su VPS, utilizando la pila de Grafana Loki. Aprenderá a instalar y configurar Loki para almacenar logs, Promtail para recopilarlos de sus aplicaciones, y Nginx como proxy inverso con HTTPS para un acceso seguro. Como resultado, obtendrá una solución potente y escalable para el monitoreo eficiente de eventos en su servidor y aplicaciones.

Instalación de Grafana Loki y Promtail como servicios de Systemd.
Configuración de Nginx como proxy inverso para Loki con soporte HTTPS a través de Certbot.
Configuración de Promtail para recopilar logs de diversas fuentes y enviarlos a Loki.
Garantizar el acceso seguro a la UI de Loki a través de Nginx y TLS.
Instrucciones paso a paso para la preparación del servidor, instalación, configuración, copias de seguridad y resolución de problemas.

Qué configuramos y por qué

En el mundo moderno, donde las aplicaciones y servicios generan enormes volúmenes de datos, el registro centralizado se convierte no solo en una comodidad, sino en una necesidad. Desplegaremos Grafana Loki — un sistema de agregación de logs escalable horizontalmente, de alta disponibilidad y multi-inquilino, desarrollado por Grafana Labs. Loki se diferencia de otros sistemas de registro en que solo indexa los metadatos (etiquetas) de los logs, y los logs en sí los almacena de forma comprimida. Esto lo hace muy eficiente en términos de uso de recursos y costo de almacenamiento.

En el marco de este tutorial, configuraremos una pila completa para la recopilación, almacenamiento y acceso centralizado a los logs:

Grafana Loki: El núcleo del sistema que recibe los logs, los indexa por etiquetas y los almacena.
Promtail: Agente que se instala en cada servidor donde se generan los logs. Monitorea los archivos de logs especificados, les aplica etiquetas y los envía a Loki.
Nginx: Actuará como proxy inverso para Loki, proporcionando acceso seguro a través de HTTPS y la capacidad de alojar Loki en puertos estándar.
Systemd: Utilizaremos Systemd para gestionar los servicios de Loki y Promtail, asegurando su inicio automático y monitoreo.

Al final, el lector obtendrá un sistema de registro centralizado completamente funcional. Esto permitirá recopilar logs de todas sus aplicaciones y servicios en un VPS (o varios VPS), visualizarlos en la cómoda interfaz de Grafana (que se puede conectar a Loki), encontrar rápidamente los eventos necesarios, depurar problemas y monitorear el estado del sistema. Esto simplifica significativamente la gestión de la infraestructura, especialmente cuando tiene varios servicios o microservicios desplegados en uno o diferentes servidores.

Alternativas: Cloud-managed vs. Self-hosted en un VPS

Existen varios enfoques para el registro centralizado:

Servicios Cloud-managed (SaaS): Plataformas como Datadog, Splunk Cloud, Logz.io, AWS CloudWatch, Google Cloud Logging, Azure Monitor. Ofrecen soluciones listas para usar con configuración mínima, alta disponibilidad, escalabilidad y una rica funcionalidad. Ventajas: Facilidad de uso, no es necesario gestionar la infraestructura, potentes herramientas analíticas. Desventajas: Alto costo, especialmente con grandes volúmenes de logs; posibles problemas de privacidad de datos, ya que los logs se almacenan con un proveedor externo; menor control sobre la infraestructura.
Soluciones Self-hosted en un servidor dedicado/VPS: Este es el enfoque que implementamos con Loki. Usted controla completamente todo el sistema, desde la infraestructura hasta la configuración. Ventajas: Control total sobre los datos y la seguridad, costo potencialmente mucho menor para grandes volúmenes de logs (solo se paga por el VPS/dedicado), flexibilidad en la configuración para necesidades específicas. Desventajas: Requiere conocimientos técnicos para el despliegue y mantenimiento, la responsabilidad de la disponibilidad y escalabilidad recae en usted.

La elección de una solución self-hosted en un VPS con Loki es especialmente relevante para propietarios de VPS, desarrolladores, fundadores individuales y entusiastas que desean tener control total sobre su infraestructura, optimizar costos y no depender de proveedores de nube externos. Loki, gracias a su diseño, es una excelente opción para esta tarea, ya que es menos exigente en recursos en comparación con otros sistemas, como la pila ELK (Elasticsearch, Logstash, Kibana), especialmente en términos de consumo de RAM y espacio en disco debido a la indexación solo de metadatos.

Qué configuración de VPS se necesita para esta tarea

La elección de un VPS adecuado para Grafana Loki depende del volumen de logs que planee recopilar y del período de su almacenamiento. Loki comprime los logs de manera eficiente, pero aún requiere suficiente espacio en disco y recursos moderados de CPU/RAM para la indexación y las consultas.

Requisitos mínimos para Loki y Promtail (para proyectos pequeños, hasta 100 GB de logs al mes)

CPU: 2 núcleos. Loki y Promtail no sobrecargan mucho el procesador en modo de espera, pero las cargas pico durante la indexación o consultas complejas pueden requerir más.
RAM: 4 GB. Loki puede ser bastante exigente con la memoria para grandes volúmenes de consultas o el almacenamiento a largo plazo de índices en memoria. Promtail consume poco.
Disco: NVMe SSD de 100 GB. La velocidad del disco es crítica para la escritura de logs y la ejecución de consultas. El volumen depende del volumen de logs y de su política de almacenamiento. Para 100 GB de logs al mes y un almacenamiento de 3 meses, se necesitarán aproximadamente 300 GB.
Red: 100 Mbps. Para la transferencia de logs de Promtail a Loki y el acceso a la UI.

Plan de VPS recomendado para proyectos medianos (hasta 500 GB de logs al mes, varias fuentes)

Para tareas más serias, donde recopila logs de varias aplicaciones o servidores, y espera hasta 500 GB de logs al mes, debe considerar una configuración más potente:

CPU: 4 núcleos.
RAM: 8 GB.
Disco: NVMe SSD de 500 GB a 1 TB.
Red: 1 Gbps.

Este plan proporcionará suficiente rendimiento para procesar consultas y almacenar un mayor volumen de datos. Puede considerar un VPS con las características indicadas para el despliegue de su sistema de registro centralizado.

Cuándo se necesita un dedicado, no un VPS

Un servidor dedicado (dedicated server) se vuelve preferible cuando:

Volúmenes muy grandes de logs: Si planea recopilar terabytes de logs al mes (por ejemplo, de un gran clúster de Kubernetes o de muchos microservicios).
Alto rendimiento de consultas: Se requiere acceso instantáneo a los logs y la ejecución de consultas analíticas complejas en enormes conjuntos de datos.
Recursos garantizados: Necesita recursos de CPU, RAM y disco 100% garantizados, sin el efecto de "vecindad" que a veces se encuentra en los VPS.
Requisitos estrictos de almacenamiento: Necesidad de arreglos RAID para aumentar la fiabilidad del subsistema de disco o requisitos específicos para el tipo de discos (por ejemplo, HDD de alto rendimiento para el almacenamiento de logs archivados, junto con SSD para datos "calientes").
Aislamiento físico: Para cumplir con estrictas normas de seguridad y cumplimiento (por ejemplo, PCI DSS, HIPAA), donde se requiere un aislamiento físico completo.

Para la mayoría de los desarrolladores individuales, fundadores en solitario y equipos pequeños, un VPS será más que suficiente y más rentable. Sin embargo, si ve que su volumen de logs supera 1-2 TB al mes, o el rendimiento del VPS comienza a sufrir, el cambio a un dedicado adecuado estará justificado.

Ubicación del VPS: qué factores influye

La elección de la ubicación del VPS influye en varios aspectos clave:

Latencia (Latency): Cuanto más cerca esté el VPS de las fuentes de logs (sus otros servidores, clientes de aplicaciones), menor será la latencia en la transmisión de logs. Esto es importante para el monitoreo operativo y la reducción de la carga de red.
Cumplimiento normativo: En algunas jurisdicciones existen requisitos estrictos para el almacenamiento de datos, incluidos los logs. Asegúrese de que la ubicación seleccionada cumpla con las leyes de privacidad de datos aplicables (por ejemplo, GDPR en Europa).
Costo: Los precios de los VPS pueden variar según la región.
Disponibilidad: Elija regiones con buena infraestructura de red y alta disponibilidad de centros de datos.

Idealmente, elija una ubicación que esté geográficamente cerca de sus servidores principales que generan logs para minimizar las latencias de red y garantizar una rápida transferencia de datos.

Preparación del servidor

Antes de proceder con la instalación de Loki y Promtail, es necesario realizar una configuración básica de su nuevo VPS. Esto aumentará la seguridad y la comodidad de uso.

Se asume que está utilizando la distribución Ubuntu Server 22.04 LTS o 24.04 LTS, que es una opción popular para VPS.

1. Conexión por SSH y actualización del sistema

Conéctese a su servidor por SSH utilizando los datos proporcionados por el proveedor. Normalmente, esto es el usuario root y la contraseña.


ssh root@SU_DIRECCIÓN_IP

Después de iniciar sesión correctamente, actualice la lista de paquetes y los paquetes instalados a las últimas versiones:


sudo apt update && sudo apt upgrade -y

2. Creación de un nuevo usuario con permisos sudo

Trabajar con la cuenta de root no es seguro. Crearemos un nuevo usuario y le otorgaremos permisos sudo.


adduser lokiadmin
usermod -aG sudo lokiadmin

Ahora, salga de la sesión de root e inicie sesión como el nuevo usuario:


exit
ssh lokiadmin@SU_DIRECCIÓN_IP

3. Configuración de la autenticación por claves SSH

Para mejorar la seguridad, se recomienda utilizar claves SSH en lugar de contraseñas. Si aún no tiene claves, genérelas en su máquina local:


ssh-keygen -t rsa -b 4096

Copie la clave pública al servidor (reemplace lokiadmin y SU_DIRECCIÓN_IP):


ssh-copy-id lokiadmin@SU_DIRECCIÓN_IP

Ahora puede deshabilitar la autenticación por contraseña para SSH. Edite el archivo /etc/ssh/sshd_config:


sudo nano /etc/ssh/sshd_config

Encuentre y modifique las siguientes líneas:


#PasswordAuthentication yes
PasswordAuthentication no
#PermitRootLogin yes
PermitRootLogin no

Guarde los cambios (Ctrl+O, Enter) y salga (Ctrl+X). Reinicie el servicio SSH:


sudo systemctl restart sshd

Después de esto, asegúrese de que puede iniciar sesión con la clave SSH antes de cerrar la sesión actual.

4. Configuración del firewall (UFW)

UFW (Uncomplicated Firewall) es una interfaz conveniente para iptables. Instálelo y configúrelo:


sudo apt install ufw -y
sudo ufw allow OpenSSH
sudo ufw allow http
sudo ufw allow https
sudo ufw enable
sudo ufw status

Verifique el estado. Los puertos 22 (SSH), 80 (HTTP) y 443 (HTTPS) deben estar permitidos. Más adelante, añadiremos un puerto para Loki.

5. Instalación de Fail2Ban

Fail2Ban ayuda a proteger contra ataques de fuerza bruta, bloqueando las direcciones IP que realizan demasiados intentos de inicio de sesión fallidos.


sudo apt install fail2ban -y
sudo systemctl enable fail2ban
sudo systemctl start fail2ban

Fail2Ban protege SSH por defecto. Puede configurarlo editando el archivo /etc/fail2ban/jail.local (créelo si no existe) y añadiendo sus propias reglas.

6. Instalación de utilidades básicas

Instale algunas utilidades útiles que le serán de ayuda durante el proceso de configuración y depuración:


sudo apt install curl wget git nano htop unzip -y

Ahora su servidor está listo para el despliegue de Grafana Loki y Promtail.

Instalación de software — paso a paso

Instalaremos Loki y Promtail descargando los archivos binarios de los repositorios oficiales de GitHub y configurándolos como servicios de Systemd. Nginx se instalará desde el repositorio APT.

Las versiones actuales del software para 2026 serán condicionales, pero utilizaremos las últimas versiones estables disponibles en el momento de la generación.

Instalación de Grafana Loki

Crearemos los directorios para Loki y descargaremos el archivo binario actual.


# 1. Creamos los directorios para Loki
sudo mkdir -p /etc/loki
sudo mkdir -p /var/lib/loki
sudo chown -R lokiadmin:lokiadmin /var/lib/loki # Damos permisos de escritura al usuario actual

# 2. Nos movemos al directorio temporal
cd /tmp

# 3. Descargamos la última versión estable de Loki (por ejemplo, v3.1.0 para 2026)
# Siempre verifique la versión actual en GitHub: https://github.com/grafana/loki/releases
LOKI_VERSION="3.1.0" # Indicamos la versión actual
wget "https://github.com/grafana/loki/releases/download/v${LOKI_VERSION}/loki-linux-amd64.zip"

# 4. Descomprimimos el archivo
unzip "loki-linux-amd64.zip"

# 5. Movemos el archivo binario a /usr/local/bin
sudo mv loki-linux-amd64 /usr/local/bin/loki

# 6. Nos aseguramos de que el archivo sea ejecutable
sudo chmod a+x /usr/local/bin/loki

# 7. Verificamos la versión
loki --version

Ahora crearemos el usuario loki, bajo el cual se ejecutará el servicio, para asegurar el principio de mínimos privilegios.


# 1. Creamos el usuario de sistema loki sin directorio personal ni shell
sudo useradd --system --no-create-home --shell /bin/false loki

# 2. Transferimos la propiedad del directorio de datos de Loki al usuario loki
sudo chown -R loki:loki /var/lib/loki

Instalación de Promtail

De manera similar a Loki, descargamos e instalamos Promtail.


# 1. Creamos el directorio para Promtail
sudo mkdir -p /etc/promtail

# 2. Nos movemos al directorio temporal
cd /tmp

# 3. Descargamos la última versión estable de Promtail (por ejemplo, v3.1.0 para 2026)
# Siempre verifique la versión actual en GitHub: https://github.com/grafana/loki/releases
PROMTAIL_VERSION="3.1.0" # Indicamos la versión actual
wget "https://github.com/grafana/loki/releases/download/v${PROMTAIL_VERSION}/promtail-linux-amd64.zip"

# 4. Descomprimimos el archivo
unzip "promtail-linux-amd64.zip"

# 5. Movemos el archivo binario a /usr/local/bin
sudo mv promtail-linux-amd64 /usr/local/bin/promtail

# 6. Nos aseguramos de que el archivo sea ejecutable
sudo chmod a+x /usr/local/bin/promtail

# 7. Verificamos la versión
promtail --version

Crearemos el usuario promtail para ejecutar el servicio.


# 1. Creamos el usuario de sistema promtail sin directorio personal ni shell
sudo useradd --system --no-create-home --shell /bin/false promtail

Instalación de Nginx y Certbot

Nginx actuará como proxy inverso y proporcionará acceso HTTPS a Loki. Certbot ayudará a automatizar la emisión y renovación de certificados TLS de Let's Encrypt.


# 1. Instalamos Nginx desde los repositorios de Ubuntu
sudo apt install nginx -y

# 2. Iniciamos Nginx y lo añadimos al inicio automático
sudo systemctl start nginx
sudo systemctl enable nginx

# 3. Instalamos Certbot y el plugin para Nginx
sudo apt install certbot python3-certbot-nginx -y

En este punto, los componentes principales están instalados. Ahora pasaremos a su configuración.

Configuración

Una configuración correcta es clave para un funcionamiento estable y eficiente del sistema. Configuraremos Loki, Promtail, Nginx y Certbot.

Configuración de Loki

Crearemos un archivo de configuración para Loki /etc/loki/config.yaml. Este archivo define cómo Loki almacenará los logs, qué puertos escuchará y otros parámetros.


sudo nano /etc/loki/config.yaml

Pegue el siguiente contenido:


auth_enabled: false # Para simplificar, deshabilitamos la autenticación. Para producción, considere basic_auth u OIDC

server:
  http_listen_port: 3100 # Puerto en el que Loki escuchará las solicitudes HTTP
  grpc_listen_port: 9095 # Puerto para gRPC (utilizado por Promtail)

common:
  path_prefix: /var/lib/loki/wal # Ruta para el Write-Ahead Log
  replication_factor: 1 # Número de réplicas para el almacenamiento de datos
  ring:
    instance_addr: 127.0.0.1
    kvstore:
      store: inmemory # Para una instalación sencilla usamos inmemory, para producción considere Consul/Etcd
    replication_factor: 1

schema_config:
  configs:
    - from: 2020-10-24 # Fecha de inicio de uso de este esquema
      store: boltdb-shipper # Usamos boltdb-shipper para almacenar índices
      object_store: filesystem # Almacenamiento de fragmentos de logs en el sistema de archivos
      schema: v12
      index:
        prefix: index_
        period: 24h

storage_config:
  boltdb_shipper:
    active_index_directory: /var/lib/loki/boltdb-shipper-active # Directorio para índices activos
    cache_location: /var/lib/loki/boltdb-shipper-cache # Directorio para la caché de índices
    resync_interval: 5s
    shared_store: filesystem
  filesystem:
    directory: /var/lib/loki/chunks # Directorio para almacenar fragmentos de logs

compactor:
  working_directory: /var/lib/loki/compactor # Directorio para el compactador
  shared_store: filesystem

limits_config:
  enforce_metric_name: false
  reject_old_samples: true
  reject_old_samples_max_age: 168h # Rechazar muestras de más de 7 días
  max_query_lookback: 720h # Período máximo para consultas (30 días)
  max_query_series: 5000 # Número máximo de series en una consulta
  max_query_length: 720h # Duración máxima de la consulta
  max_global_streams_per_user: 5000000
  max_streams_per_user: 100000

ruler:
  storage:
    type: local
    local:
      directory: /var/lib/loki/rules
  rule_path: /var/lib/loki/rules-temp
  alertmanager_url: http://localhost:9093 # Ejemplo, si va a usar Alertmanager
  ring:
    kvstore:
      store: inmemory

# Configuración para consultas (query-frontend, query-scheduler)
query_range:
  align_queries_with_step: true

# Configuración para el ingester (componente que recibe los logs)
ingester:
  lifecycler:
    address: 127.0.0.1
    ring:
      kvstore:
        store: inmemory
      replication_factor: 1
    final_sleep: 0s
  chunk_idle_period: 5m
  max_transfer_retries: 0

Guarde el archivo. Ahora crearemos un servicio Systemd para Loki.


sudo nano /etc/systemd/system/loki.service

Pegue el siguiente contenido:


[Unit]
Description=Sistema de agregación de logs Loki
After=network.target

[Service]
User=loki
Group=loki
Type=simple
ExecStart=/usr/local/bin/loki -config.file /etc/loki/config.yaml
Restart=on-failure
RestartSec=5s

[Install]
WantedBy=multi-user.target

Guarde el archivo, recargue Systemd e inicie Loki:


sudo systemctl daemon-reload
sudo systemctl start loki
sudo systemctl enable loki
sudo ufw allow 3100/tcp # Abrimos el puerto de Loki
sudo ufw reload

Verifique el estado de Loki:


sudo systemctl status loki

Debería mostrar active (running).

Configuración de Promtail

Ahora configuraremos Promtail para la recolección de logs. Crearemos el archivo /etc/promtail/config.yaml.


sudo nano /etc/promtail/config.yaml

Pegue el siguiente contenido. Este ejemplo recolectará logs del sistema y logs de Nginx.


server:
  http_listen_port: 9080
  grpc_listen_port: 0

positions:
  filename: /var/lib/promtail/positions.yaml # Archivo para rastrear posiciones en los logs

clients:
  - url: http://localhost:3100/loki/api/v1/push # URL para enviar logs a Loki

scrape_configs:
  - job_name: system
    static_configs:
      - targets:
          - localhost
        labels:
          job: varlogs
          __path__: /var/log/*.log # Recolectamos todos los archivos .log de /var/log
          host: YOUR_HOSTNAME # Reemplace con el nombre de host real de su VPS
    pipeline_stages:
      - docker: {} # Ejemplo, si Promtail estuviera en Docker, aquí se podrían usar otros parsers
      - match:
          selector: '{job="varlogs"}'
          stages:
            - regex:
                expression: '^(?P\S+\s+\d+\s+\d{2}:\d{2}:\d{2})\s+(?P\S+)\s+(?P.*?)(?:\[(?P\d+)])?:\s+(?P.*)'
            - labels:
                time:
                hostname:
                process:
                pid:
            - output:
                source: message

  - job_name: nginx_access
    static_configs:
      - targets:
          - localhost
        labels:
          job: nginx_access
          __path__: /var/log/nginx/access.log # Ruta a los logs de acceso de Nginx
          host: YOUR_HOSTNAME
    pipeline_stages:
      - regex:
          expression: '^(?P\S+) - (?P\S+) \[(?P[^\]]+)\] "(?P\S+) (?P\S+) (?P\S+)" (?P\d+) (?P\d+) "(?P[^"]*)" "(?P[^"]*)"'
      - labels:
          ip:
          user:
          method:
          path:
          status:
          bytes:
          referrer:
          agent:
      - timestamp:
          format: "DD/MMM/YYYY:HH:MM:SS +0000"
          source: time
      - output:
          source: message

  - job_name: nginx_error
    static_configs:
      - targets:
          - localhost
        labels:
          job: nginx_error
          __path__: /var/log/nginx/error.log # Ruta a los logs de error de Nginx
          host: YOUR_HOSTNAME
    pipeline_stages:
      - regex:
          expression: '^(?P\d{4}/\d{2}/\d{2} \d{2}:\d{2}:\d{2}) \[(?P\w+)\] (?P\d+)#(?P\d+): \*(?P\d+) (?P.*)'
      - labels:
          time:
          level:
          pid:
          tid:
          cid:
      - timestamp:
          format: "YYYY/MM/DD HH:MM:SS"
          source: time
      - output:
          source: message

IMPORTANTE: Reemplace YOUR_HOSTNAME con el nombre de host actual de su VPS. Además, asegúrese de que las rutas a los logs (/var/log/*.log, /var/log/nginx/access.log, /var/log/nginx/error.log) correspondan a su sistema.

Guarde el archivo. Ahora crearemos un servicio Systemd para Promtail.


sudo nano /etc/systemd/system/promtail.service

Pegue el siguiente contenido:


[Unit]
Description=Recolector de logs Promtail
After=network.target

[Service]
User=promtail
Group=promtail
Type=simple
ExecStart=/usr/local/bin/promtail -config.file /etc/promtail/config.yaml
Restart=on-failure
RestartSec=5s

[Install]
WantedBy=multi-user.target

Guarde el archivo, recargue Systemd e inicie Promtail:


sudo systemctl daemon-reload
sudo systemctl start promtail
sudo systemctl enable promtail

Verifique el estado de Promtail:


sudo systemctl status promtail

Debería mostrar active (running).

Configuración de Nginx

Nginx actuará como un proxy inverso para Loki. Primero, eliminaremos la configuración predeterminada de Nginx:


sudo rm /etc/nginx/sites-enabled/default

Crearemos un nuevo archivo de configuración para Loki, por ejemplo, /etc/nginx/sites-available/loki.conf.


sudo nano /etc/nginx/sites-available/loki.conf

Pegue el siguiente contenido. Reemplace your.domain.com con su dominio, que apuntará a su VPS.


server {
    listen 80;
    listen [::]:80;
    server_name your.domain.com; # Reemplace con su dominio

    location / {
        proxy_pass http://localhost:3100; # Proxy las solicitudes a Loki
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_read_timeout 300s; # Aumentamos el tiempo de espera para solicitudes grandes
    }
}

Guarde el archivo. Ahora activaremos esta configuración creando un enlace simbólico:


sudo ln -s /etc/nginx/sites-available/loki.conf /etc/nginx/sites-enabled/

Verifique la configuración de Nginx en busca de errores y reinícielo:


sudo nginx -t
sudo systemctl restart nginx

Si no hay errores, Nginx debería reiniciarse correctamente.

Configuración de HTTPS con Certbot

Para un acceso seguro a Loki a través de Nginx, usaremos Certbot para obtener un certificado TLS de Let's Encrypt.


sudo certbot --nginx -d your.domain.com

Certbot lo guiará a través del proceso. Deberá ingresar una dirección de correo electrónico para notificaciones y aceptar los términos de servicio. Detectará automáticamente su bloque de servidor Nginx para your.domain.com y lo modificará, agregando la configuración HTTPS y la redirección de HTTP a HTTPS.

Después de una configuración exitosa de Certbot, su archivo /etc/nginx/sites-available/loki.conf se verá aproximadamente así (Certbot agregará sus directivas):


server {
    listen 80;
    listen [::]:80;
    server_name your.domain.com;

    # Certbot agregará aquí la redirección a HTTPS
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    server_name your.domain.com;

    ssl_certificate /etc/letsencrypt/live/your.domain.com/fullchain.pem; # Ruta al certificado
    ssl_certificate_key /etc/letsencrypt/live/your.domain.com/privkey.pem; # Ruta a la clave privada
    include /etc/letsencrypt/options-ssl-nginx.conf;
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;

    location / {
        proxy_pass http://localhost:3100;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_read_timeout 300s;
    }
}

Certbot también configurará la renovación automática de certificados. Puede verificarlo:


sudo systemctl status certbot.timer
sudo certbot renew --dry-run

Verificación del funcionamiento

Asegurémonos de que todos los componentes funcionan correctamente.

Verificación de Loki:
```
curl -v http://localhost:3100/ready
```
Debería devolver el estado 200 OK y el mensaje Loki is ready.
Verificación de Promtail:
```
sudo journalctl -u promtail.service -f
```
Verá los logs de Promtail. Asegúrese de que no haya errores al enviar logs a Loki.
Verificación de Nginx y HTTPS:
Abra https://your.domain.com en su navegador. Debería ver la interfaz de Loki. Si ve un error 404 o 502 Bad Gateway, verifique los logs de Nginx (/var/log/nginx/error.log) y Loki.
Verificación de logs en Loki:
Desde la línea de comandos, puede realizar una consulta a Loki a través de curl para asegurarse de que los logs están llegando:
```
curl -G "https://your.domain.com/loki/api/v1/query_range" --data-urlencode 'query={job="varlogs"}' | jq .
```
Debería ver una respuesta JSON con sus logs. Si jq no está instalado, instálelo: sudo apt install jq -y.

Para una visualización más cómoda de los logs, puede conectar Loki a Grafana. Instale Grafana en un servidor separado o como un contenedor Docker y agregue Loki como fuente de datos. Entonces podrá usar el lenguaje de consulta LogQL en Grafana Explore.

Copias de seguridad y mantenimiento

Схема: Бэкапы и обслуживание — Diagrama: Copias de seguridad y mantenimiento

Las copias de seguridad y el mantenimiento regular son cruciales para cualquier sistema, especialmente para un sistema de registro donde la pérdida de datos puede ser catastrófica.

Qué respaldar

Para Loki, los datos principales que deben respaldarse son:

Archivos de configuración: /etc/loki/config.yaml, /etc/promtail/config.yaml, la configuración de Nginx /etc/nginx/sites-available/loki.conf y los certificados de Let's Encrypt /etc/letsencrypt/.
Datos de Loki: Los directorios especificados en storage_config (/var/lib/loki/chunks, /var/lib/loki/boltdb-shipper-active, /var/lib/loki/boltdb-shipper-cache). Estos datos contienen los registros en sí y sus índices.
Posiciones de Promtail: El archivo /var/lib/promtail/positions.yaml. Este rastrea hasta qué punto Promtail ha leído cada archivo de registro. Si se pierde, Promtail podría comenzar a leer los registros desde el principio después de la recuperación, lo que llevaría a la duplicación.

Script simple de copia de seguridad automática

Crearemos un script simple que archivará archivos y directorios clave. Para almacenar las copias de seguridad, se recomienda utilizar un almacenamiento externo, no el mismo VPS.


sudo nano /usr/local/bin/backup_loki.sh

Pegue el siguiente contenido. Reemplace /path/to/your/backup/destination con la ruta real a su directorio de copias de seguridad (por ejemplo, un bucket S3 montado o un recurso NFS).


#!/bin/bash

# Directorio para copias de seguridad temporales
BACKUP_DIR="/tmp/loki_backup_$(date +%Y%m%d%H%M%S)"
mkdir -p "$BACKUP_DIR"

# Directorio para almacenar los archivos finales
FINAL_BACKUP_DESTINATION="/path/to/your/backup/destination" # REEMPLACE ESTA RUTA
mkdir -p "$FINAL_BACKUP_DESTINATION"

# Archivos y directorios para la copia de seguridad
CONFIG_FILES="/etc/loki/config.yaml /etc/promtail/config.yaml /etc/nginx/sites-available/loki.conf"
LETSENCRYPT_DIR="/etc/letsencrypt"
LOKI_DATA_DIR="/var/lib/loki"
PROMTAIL_POSITIONS="/var/lib/promtail/positions.yaml"

# Copiamos los archivos de configuración y los certificados
cp -r $CONFIG_FILES "$BACKUP_DIR/"
cp -r $LETSENCRYPT_DIR "$BACKUP_DIR/"
cp $PROMTAIL_POSITIONS "$BACKUP_DIR/"

# Detenemos Loki y Promtail para una copia de seguridad de datos consistente
# EN PRODUCCIÓN, considere métodos más complejos para copias de seguridad en caliente o replicación
sudo systemctl stop loki
sudo systemctl stop promtail

# Copiamos los datos de Loki (esto puede llevar mucho tiempo para grandes volúmenes)
# Usamos rsync para una copia incremental
sudo rsync -az "$LOKI_DATA_DIR" "$BACKUP_DIR/"

# Iniciamos Loki y Promtail de nuevo
sudo systemctl start loki
sudo systemctl start promtail

# Creamos el archivo
ARCHIVE_NAME="loki_backup_$(date +%Y%m%d%H%M%S).tar.gz"
tar -czf "$FINAL_BACKUP_DESTINATION/$ARCHIVE_NAME" -C "$BACKUP_DIR" .

# Eliminamos los archivos temporales
rm -rf "$BACKUP_DIR"

# Limpieza de copias de seguridad antiguas (por ejemplo, mantener 7 días)
find "$FINAL_BACKUP_DESTINATION" -name "loki_backup_*.tar.gz" -type f -mtime +7 -delete

echo "Loki backup completed: $FINAL_BACKUP_DESTINATION/$ARCHIVE_NAME"

Haga que el script sea ejecutable:


sudo chmod +x /usr/local/bin/backup_loki.sh

Dónde almacenar las copias de seguridad

Nunca almacene las copias de seguridad en el mismo servidor que los datos originales. Si el servidor falla, perderá tanto los datos como las copias de seguridad.

Almacenamiento de objetos externo compatible con S3: La opción más común y fiable. Utilice servicios como AWS S3, DigitalOcean Spaces, Backblaze B2 o MinIO (para autoalojado). Para la carga, puede usar utilidades como s3cmd o rclone.
Servidor VPS/Dedicado separado: Asigne un servidor separado específicamente para almacenar copias de seguridad. Puede usar rsync a través de SSH para copiar los archivos.
Almacenamiento NFS: Si tiene un almacenamiento de red centralizado.

Para la integración con un almacenamiento similar a S3, puede instalar s3cmd o rclone y añadir el comando de carga a su script de copia de seguridad.


# Ejemplo de adición al script backup_loki.sh para S3 (después de crear tar.gz)
# sudo apt install rclone -y
# rclone config # Configure rclone para su proveedor S3
# rclone copy "$FINAL_BACKUP_DESTINATION/$ARCHIVE_NAME" "your_s3_remote:your-bucket-name/loki-backups/"

Automatización de copias de seguridad con Cron

Añada el script a la programación de Cron para su ejecución diaria:


sudo crontab -e

Añada la siguiente línea para ejecutar el script diariamente a las 03:00 de la mañana:


0 3 * * * /usr/local/bin/backup_loki.sh >> /var/log/loki_backup.log 2>&1

Actualizaciones: Rolling vs. Ventana de mantenimiento

Actualizaciones continuas (para un clúster): Si Loki está desplegado en un clúster (lo cual no hicimos en este tutorial, ya que es un VPS), puede actualizar los nodos uno por uno para mantener la disponibilidad del sistema.
Ventana de mantenimiento (para un VPS único): Para un VPS único, como en nuestro caso, las actualizaciones de Loki y Promtail requerirán una corta "ventana de mantenimiento", durante la cual los servicios se detendrán.
1. Detenga Promtail y Loki.
2. Descargue los nuevos archivos binarios.
3. Reemplace los binarios antiguos por los nuevos.
4. Inicie Loki, luego Promtail.
5. Verifique los registros y el funcionamiento.
Se recomienda realizar las actualizaciones fuera del horario laboral y siempre tener una copia de seguridad reciente.

Solución de problemas + Preguntas frecuentes

Esta sección recopila problemas y preguntas comunes que pueden surgir durante el despliegue y la operación de Grafana Loki.

Loki o Promtail no se inician o están inactivos. ¿Qué hacer?

Si el servicio Loki o Promtail no se inicia o su estado es failed, lo primero que debe verificar son los registros de Systemd. Utilice los comandos:


sudo systemctl status loki.service
sudo journalctl -u loki.service -f

De manera similar para Promtail: sudo systemctl status promtail.service y sudo journalctl -u promtail.service -f. Los registros a menudo contienen información sobre errores de configuración, problemas de acceso a archivos o puertos ocupados. Asegúrese de que los archivos de configuración config.yaml sean sintácticamente correctos (use un validador YAML en línea) y que el usuario loki/promtail tenga permisos para leer los archivos de configuración y escribir en los directorios de datos.

No veo registros en la interfaz de usuario de Loki (a través de Grafana o curl).

Si los registros no llegan, verifique lo siguiente:

Estado de Promtail: Asegúrese de que Promtail esté en ejecución y funcionando sin errores (sudo systemctl status promtail).
Registros de Promtail: Verifique los registros de Promtail (sudo journalctl -u promtail.service -f) en busca de errores al enviar registros a Loki. Errores comunes: connection refused (Loki no está disponible), 400 Bad Request (problema con el formato de los registros o las etiquetas).
Configuración de Promtail: Asegúrese de que la url de Loki (http://localhost:3100/loki/api/v1/push) esté correctamente especificada en /etc/promtail/config.yaml y que las rutas a los archivos de registro (__path__) sean correctas y accesibles para el usuario promtail.
Estado de Loki: Asegúrese de que Loki esté en ejecución y accesible en el puerto 3100.
Cortafuegos: Verifique que el puerto 3100 esté abierto si Loki y Promtail están en servidores diferentes o si Promtail intenta conectarse a Loki a través de una IP pública.

Nginx devuelve un error 502 Bad Gateway o 404 Not Found.

El error 502 Bad Gateway generalmente significa que Nginx no puede comunicarse con el backend (en este caso, Loki). Verifique:

Estado de Loki: Asegúrese de que Loki esté en ejecución y escuchando en localhost:3100.
Registros de Nginx: Verifique /var/log/nginx/error.log. Indicará la causa exacta del error, por ejemplo, connection refused.
Configuración de Nginx: Verifique el archivo /etc/nginx/sites-available/loki.conf. Asegúrese de que proxy_pass http://localhost:3100; esté correctamente especificado.

El error 404 Not Found puede indicar una configuración incorrecta de location / en Nginx o que Loki no tiene esa ruta.

¿Qué configuración mínima de VPS es adecuada para Grafana Loki?

Para proyectos pequeños, como un blog personal, una pequeña aplicación SaaS o varios microservicios que generen hasta 100 GB de registros al mes, un VPS con 2 núcleos de CPU, 4 GB de RAM y 100-200 GB de SSD NVMe será mínimamente adecuado. La velocidad del disco es más crítica aquí que el volumen puro, ya que Loki trabaja activamente con el disco. Asegúrese de que el plan elegido ofrezca un SSD lo suficientemente rápido para un trabajo eficiente con índices y fragmentos de registros.

¿Qué elegir: VPS o dedicado para esta tarea?

La elección entre un VPS y un servidor dedicado depende de la escala de su tarea. Para la mayoría de los desarrolladores individuales, equipos pequeños y proyectos con un volumen de registros de hasta 1-2 TB al mes, un VPS será la opción óptima en términos de costo y facilidad de administración. Loki está diseñado para ser ligero, lo que lo hace ideal para un VPS. Un servidor dedicado se vuelve necesario cuando se requiere el máximo rendimiento, recursos garantizados sin sobreventa, volúmenes muy grandes de registros (terabytes al día) o requisitos específicos de hardware (por ejemplo, arreglos RAID para discos, tarjetas de red de alto rendimiento). Si recién está comenzando, siempre elija un VPS y luego escale a un dedicado si surge una necesidad real.

¿Cómo garantizar la seguridad de Loki?

En este tutorial, deshabilitamos la autenticación (auth_enabled: false) para simplificar, pero esto es inaceptable para producción. Se recomienda:

Autenticación básica a través de Nginx: Nginx puede proporcionar autenticación HTTP básica antes de proxyar las solicitudes a Loki.
OIDC/OAuth2: Si utiliza Grafana, esta admite la integración con OIDC/OAuth2, lo que permite centralizar la autenticación.
TLS/HTTPS: Asegúrese de que todo el tráfico a Loki se realice a través de HTTPS (lo que configuramos con Nginx y Certbot).
Cortafuegos: Restrinja el acceso a los puertos de Loki solo a las direcciones IP necesarias.
Principio de mínimos privilegios: Loki y Promtail operan bajo usuarios del sistema separados con derechos limitados.

¿Cómo conectar Grafana a Loki?

Después de desplegar Loki, puede conectarlo fácilmente a Grafana. Para ello:

Instale Grafana (si aún no lo ha hecho).
En Grafana, vaya a Configuration -> Data Sources.
Haga clic en Add data source y seleccione Loki.
En el campo URL, especifique la dirección de su servidor Loki, por ejemplo, https://your.domain.com.
Si utiliza autenticación (por ejemplo, Basic Auth a través de Nginx), especifique las credenciales correspondientes.
Haga clic en Save & Test.

Después de esto, podrá usar Loki como fuente de datos en Grafana Explore para consultar registros usando LogQL y crear paneles.

Conclusiones y próximos pasos

¡Felicidades! Ha desplegado y configurado con éxito un potente y económico sistema de registro centralizado en su VPS, utilizando Grafana Loki, Promtail y Nginx. Ahora tiene control total sobre sus registros, la capacidad de buscar y analizar eventos rápidamente, lo que simplifica significativamente la depuración y el monitoreo de sus aplicaciones y servidor.

Próximos pasos para el desarrollo de su sistema:

Integración con Grafana: Conecte su servidor Loki a una instalación de Grafana existente o nueva. Esto le permitirá utilizar las potentes capacidades de visualización de Grafana, crear paneles, alertas y realizar un análisis más profundo de los registros utilizando el lenguaje de consulta LogQL.
Monitoreo de Loki: Configure el monitoreo de Loki mismo utilizando Prometheus y Grafana. Loki proporciona métricas en formato Prometheus que se pueden recopilar y visualizar para rastrear su rendimiento y estado.
Escalabilidad y alta disponibilidad: Si su volumen de registros aumenta significativamente, considere escalar Loki añadiendo instancias adicionales, utilizando almacenamiento de objetos (compatible con S3) en lugar de un sistema de archivos para los fragmentos de registros y un almacenamiento distribuido para los índices (por ejemplo, Consul o Etcd).
Expansión de la recopilación de registros: Configure Promtail para recopilar registros de todas sus aplicaciones, incluidos los contenedores Docker (si los usa), así como de otros servidores, si los tiene.

bolt ¿Listo para desplegar?

Obtén un servidor Valebyte rápido y fiable

Almacenamiento NVMe. Soporte 24/7. Despliegue en 60 segundos. Planes desde $4/mes con acceso root completo y protección DDoS en cada nodo.

check_circle VPS, dedicados o GPU
check_circle Facturación por horas, cancela en cualquier momento
check_circle Centros de datos en UE, EE.UU. y Asia

rocket_launch Ver planes VPS arrow_forward dns Servidores dedicados

Desarrolladores y agencias de todo el mundo confían en nosotros

¿Te fue útil esta guía?

Despliegue de Grafana Loki para logging centralizado en VPS: Promtail,