本文介绍了如何配置Graylog3.0以收集Linux和Windows主机的日志。在Linux上,使用rsyslog服务通过UDP1515端口发送syslog消息到Graylog。在Windows上,由于不支持syslog,需借助Graylog Sidecar安装程序,通过API Token设置Sidecar服务来收集日志。详细步骤包括创建Graylog输入、配置Sidecar、启动服务和验证日志收集。
graylog可以收集操作系统日志,包括linux,windows,macos等。在linux上配置使用rsyslog服务,比较容易,在windows 配置比较复杂。
参考官方配置手册http://docs.graylog.org/en/latest/pages/sidecar.html#windows
一、linux主机日志收集
公司很多的虚拟机都是centos7的操作系统,带有rsyslog服务,可以使用syslog协议将系统日志发送到graylog上进行收集,可以指定端口。
必须注意的是, 很多linux发行版的非root用户是无法使用1024以下的端口的,这些被称为特权端口。本次使用udp1515端口收集。
使用rsyslog转发syslog消息很容易。充分利用日志的唯一重要事项是遵循 RFC 5424。按照如下示例配置您的rsyslog守护程序将RFC 5424日期发送到Graylog syslog输入:
touch /etc/rsyslog.d/greylog.conf #创建rsyslog额外配置文件 cat << EOF > /etc/rsyslog.d/greylog.conf #编辑配置文件 *.* @192.168.99.40:1515;RSYSLOG_SyslogProtocol23Format #*.* 代表linux中所有模块所有级别的日志,@代表使用udp协议,@@代表使用tcp协议,192.168.99.40:1515greylog主机的IP和收集端口 EOF #RSYSLOG_SyslogProtocol23Format 代表syslog协议格式模板
配置完成后,重启rsyslog服务
systemctl restart rsyslog systemctl enable rsyslog
自此,linux主机syslog配置完成
然后在到graylog上进行配置,在system->input中,添加一个新的input,按照如下进行配置,选择Syslog UDP
点击launch new input,然后按照如下进行配置
最低0.47元/天 解锁文章
扫一扫
6309
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
