graylog3.0配置收集linux主机和windows主机日志

    graylog能够收集操做系统日志,包括linux,windows,macos等。在linux上配置使用rsyslog服务,比较容易,在windows 配置比较复杂。
html

    参考官方配置手册http://docs.graylog.org/en/latest/pages/sidecar.html#windowslinux

、linux主机日志收集git

    公司不少的虚拟机都是centos7的操做系统,带有rsyslog服务,可使用syslog协议将系统日志发送到graylog上进行收集,能够指定端口。
github

 必须注意的是, 不少linux发行版的非root用户是没法使用1024如下的端口的,这些被称为特权端口。本次使用udp1515端口收集。macos

使用rsyslog转发syslog消息很容易。充分利用日志的惟一重要事项是遵循 RFC 5424。按照以下示例配置您的rsyslog守护程序将RFC 5424日期发送到Graylog syslog输入:windows

touch /etc/rsyslog.d/greylog.conf                  #建立rsyslog额外配置文件
cat << EOF > /etc/rsyslog.d/greylog.conf             #编辑配置文件
*.* @192.168.99.40:1515;RSYSLOG_SyslogProtocol23Format       #*.* 表明linux中全部模块全部级别的日志,@表明使用udp协议,@@表明使用tcp协议,192.168.99.40:1515greylog主机的IP和收集端口
EOF                                 #RSYSLOG_SyslogProtocol23Format 表明syslog协议格式模板

image.png

配置完成后,重启rsyslog服务后端

systemctl restart rsyslog
systemctl enable rsyslog

自此,linux主机syslog配置完成centos

而后在到graylog上进行配置,在system->input中,添加一个新的input,按照以下进行配置,选择Syslog UDP api

image.png

点击launch new input,而后按照以下进行配置bash

image.png

说明:

一、port 写1515

二、bind address保持0.0.0.0 默认


完成添加后,点击“start input"启动


而后咱们在一台linux主机上进行测试,使用简单测试用命令,检查greylog是否可以收到

logger -p mail.info "hello!"

image.png

确承认以收到

image.png




2、windows收集日志

windows操做系统没法使用syslog协议进行发送日志。一种方式使用第三方软件如”eventlog"将windows的系统日志转化syslog协议的日志进行发送,可是greylog却没法收集和处理。

因此在greylog上是使用第三方程序做为代理安装到windows主机上,从而收集windows主机日志。

greplog主要推荐使用Graylog Sidecar进行。

Graylog Sidecar是一个轻量级配置管理系统,适用于不一样的日志收集器,也称为后端Graylog节点充当包含日志收集器配置的集中式集线器。在支持的消息生成设备/主机上,Sidecar能够做为服务(Windows主机)或守护程序(Linux主机)运行。

image.png


日志收集器配置经过Graylog Web界面集中管理。Sidecar守护程序会按期使用REST API获取目标的全部相关配置在第一次运行时,或者在检测到配置更改时,Sidecar将生成(呈现)相关的后端配置文件。而后它将启动或从新启动那些从新配置的日志收集器。


2.1windows上安装sidecar

下载地址https://github.com/Graylog2/collector-sidecar/releases

image.png

windows安装以下版本

image.png

windows上的sidecar下载地址

https://github.com/Graylog2/collector-sidecar/releases/download/1.0.0/graylog_sidecar_installer_1.0.0-1.exe

该程序是向导方式安装,将安装程序传输到windows主机上,直接以管理员身份运行

image.png

不过在安装以前,咱们须要须要肯定sidecar的api token

首先在system中添加一个input

image.png

而后按照以下进行配置

image.png

bind address和port 保持默认便可

而后进入system/sidecar

image.png

此时根据提示,建立sidecar用户的token

image.png

新建一个token

image.png




把这个token记录下来,而后在 windows主机上执行sidecar安装程序

image.png

这里面惟一调整的就是 api的url和token字符串,若是能够,修改实例名称,好比为ip地址,而后下一步完成windows主机上sidecar的安装

完成安装后,以管理员身份运行cmd配置windows sidecar的做为服务并启动

C:\Program Files\graylog\sidecar\graylog-sidecar.exe -service install
C:\Program Files\graylog\sidecar\graylog-sidecar.exe" -service start

image.png

而后检查服务状态,确认sidecar服务已经启动

image.png

记住Windows Sidecar包已包含Filebeat和Winlogbeat,不须要再额外安装



2.2配置input


在greylog上配置input配置完成后,先别启动,由于还要配置sidecar

在system中选择sidecar

image.png

进入后,进入configuration进行新建配置

image.png

进入collection配置,选择configuration进行配置

image.png


进入配置后,按照以下进行配置

image.png

说明:

一、name能够随意取

二、collector要选择 “winlogbeat on wondows'

而后这里注意,须要修改out.logstash:,修改成graylog主机的ip地址

image.png

而后点击确认


下来,咱们须要将新建立的配置(以及Filebeat收集器)分配给咱们的sidecar。转到该页面。Collector Administration

image.png

而后能够看到windows主机安装了sidecar可以被graylog发现

image.png

这些都要手动选择上,而后确认

image.png

确认以后,须要确认sidecar处于running状态,自此sidecar配置完毕

image.png

而后咱们在"overview "点击”show message"就能够看到收集到的日志

image.png

收到的windows主机日志以下所示:

image.png



3、注意事项和添加到dashboard


  在配置sidecar时,须要注意不少事情,在windows主机端安装客户端

一、配置正确的sidecar用户api token

二、实例名称能够修改成主机名或者ip地址

三、必定要保持windows主机与greylog主机的tcp 5044端口开放

image.png

四、必定要确认windows主机的graylog服务启动

五、对于linux主机或者其余自定义配置,须要调整sidecat.yml,配置参考以下:

    基本上大部分主机配置只须要配置SERVER_URL和server_api_token

image.png

五、能够在windows主机的C:\Program Files\Graylog\sidecar\logs(greylog的sidecar客户端默认安装路径)查看sidecar客户端日志信息,方便排错

image.png


在graylog端配置时须要注意


一、input选择beates,并且要保持开启

二、sidecar须要配置正确的collector,例如windows为winlogbeate,linux主机为filebeat

三、要保持collector处于运行状态

四、只有客户端配置正确且与graylog通讯正常,才会在sidecar中看到显示的sidecar实例

五、配置collector时候,必定要调整out.logstash:修改成graylog主机地址



我TM还能说什么,收集个windows日志,竟然如此麻烦



接下来,就是将sidecar收集到的日志添加到仪表盘

就像这样

image.png

同时也能够在souce中查看日志收集总览

image.png

相关文章
相关标签/搜索