Graylog 2 | Rsyslog | NxLog | Debian 9

Graylog2 est une solution open-source de gestion de logs. Chaque message est enregistré dans une base de donnée Elasticsearch et une interface web vous permet de gérer et analyser vos logs.

 

 

  • Prérequis à l'installation
apt update && apt upgrade
apt install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen sudo
  • Installation de MongoDB
apt-get update
apt-get install -y mongodb
  • Installation d' Elasticsearch
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list
apt update && apt install elasticsearch

Assurez-vous de modifier le fichier de configuration Elasticsearch (/etc/elasticsearch/elasticsearch.yml) et définissez le nom du cluster sur graylog.

De plus, vous devez décommenter (supprimer le # comme premier caractère) à la ligne:

cluster.name: graylog

  Après avoir modifié la configuration, vous pouvez démarrer Elasticsearch:

systemctl daemon-reload
systemctl enable elasticsearch.service
systemctl restart elasticsearch.service
  • Installation de Graylog

Maintenant, installez la configuration du dépôt Graylog et Graylog lui-même avec les commandes suivantes:

wget https://packages.graylog2.org/repo/packages/graylog-2.4-repository_latest.deb

dpkg -i graylog-2.4-repository_latest.deb

apt update && apt install graylog-server

systemctl enable graylog-server.service

systemctl start graylog-server.service

Editez le fichier de configuration de graylog:

nano /etc/graylog/server/server.conf

Renseignez les lignes suivantes:

# Entrez le secretpassword (12 caractere minimum)

password_secret = passwordpassword

# L'utilisateur par defaut

root_username = admin

# Creez le mdp avec par example: echo -n yourpassword | shasum -a 256
# Example avec passwordpassword

root_password_sha2 = 2e2b24f8ee40bb847fe85bb23336a39ef5948e6b49d897419ced68766b16967a

# The email address of the root user.
# Default is empty

root_email = "email@domain.tld"

# Pour l'acces

rest_listen_uri = http://ip.ip.ip.ip:9000/api/

web_listen_uri = http://ip.ip.ip.ip:9000/

Redemarrage de Graylog:

/etc/init.d/graylog-server restart

La suite bientôt ....

 

[Mémo NXLOG]

syntax du fichier "nxlog.conf" pour windows.

## This is a sample configuration file. See the nxlog reference manual about the
## configuration options. It should be installed locally and is also available
## online at http://nxlog.org/docs/

## Please set the ROOT to the folder your nxlog was installed into,
## otherwise it will not start.

#define ROOT C:Program Filesnxlog
define ROOT C:Program Files (x86)nxlog

Moduledir %ROOT%modules
CacheDir %ROOT%data
Pidfile %ROOT%datanxlog.pid
SpoolDir %ROOT%data
LogFile %ROOT%datanxlog.log

<Extension gelf>
    Module      xm_gelf
</Extension>

<Extension syslog>
 Module xm_syslog
</Extension>


<Input in>
    Module      im_msvistalog
	Query <QueryList>
	  <Query Id="0">

 <Select Path="Windows PowerShell">*</Select>

	  </Query>
	</QueryList>



# For windows 2003 and earlier use the following:
#   Module      im_mseventlog
</Input>

<Input inlog>
   Module im_file
   File 'C:zabbix_agentd.log' #Put the file to be tailed here.
   SavePos TRUE
   InputType LineBased
</Input>


<Output out>
    Module      om_udp
    Host        ip.ip.ip.ip
    Port        12201
    OutputType	GELF_UDP
</Output>

<Output outlog>
    Module      om_udp
    Host        ip.ip.ip.ip
    Port        8514
</Output>


<Route 1>
    Path        in => out
</Route>

<Route 2>
    Path        inlog => outlog
</Route>

 

Écrire un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec une *

Quelle est le sixième caractère du mot r30z42c ? :