使用graylog3.0收集open×××日志进行审计

公司使用开源的open，咱们须要收集服务器上的日志做为审计。open×××的日志保存在/etc/open/下，主要有open.log和open-status.log两个日志文件。

能够查看到一些系统信息连接信息，用户信息

咱们只须要审计，因此只用收集open***-status.log便可

收集方法是在open***服务器上安装sidcar代理程序和filebeate日志收集程序，收集日志发送给graylog。原理以下

安装sidecar

graylog3.0 使用sidecar代理程序来收集linux和windows主机日日志。下载地址为 https://github.com/Graylog2/collector-sidecar/releases
centos 7上使用rpm的格式。

或者直接安装

rpm -ivh https://github.com/Graylog2/collector-sidecar/releases/download/1.0.1/graylog-sidecar-1.0.1-1.x86_64.rpm

而后编辑配置文件/etc/graylog/sidecar/sidecar.yml

vim /etc/graylog/sidecar/sidecar.yml

这里首先说明，须要修改的配置文件，只须要修改server_url和server_api_token，官方说明以下

首先咱们要建立一个api token

按照以下方式建立

而后咱们把生成的api token写入到sidecar.yml配置文件中，在第6行

而后修改第二行server_url

而后修改第22行node_name,主要做为识别使用，不修改的化默认使用主机名

完成配置文件修改后，安装sidecar做为服务器并启动

graylog-sidecar -service install
systemctl start graylog-sidecar
systemctl enable graylog-sidecar

而后查看服务是否正常运行

一切正常的话，则能够看到配置的sidecar已经上线

安装filebeat

在linux上，graylog-sidcar须要第三方程序做为收集器，有filebeat和nxlog,咱们使用filebeat
地址为https://www.elastic.co/cn/downloads/beats

我采用rpm包方式安装

rpm -ivh https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.1.1-x86_64.rpm

安装完毕后，修改配置文件

vim /etc/filebeat/filebeat.yml

24行 修改成true

28行，修改成open***的日志路径

150行，修改成graylog地址

完成后，启动服务

配置graylog

在graylog中，点击configuration

而后点击 create configuration

注意这几个位置的修改，而后建立
建立完毕后，须要关联

此时sidecar能够收集到open***的日志

而后咱们新建input进行日志分析

而后按照以下配置

而后咱们就能够进行分析了，好比搜索用户lizhenghua

这样就基本上能够知足审计需求