Windows服务器安装graylog-sidecar实现系统日志快速接入Graylog
1、Github上下载安装sidecar Windows版本安装包
https://github.com/Graylog2/collector-sidecar
(图片点击放大查看)
2、创建sidecar的API token
Create or reuse a token for the graylog-sidecar user
(图片点击放大查看)
(图片点击放大查看)
(图片点击放大查看)
(图片点击放大查看)
3、创建Beats类型的Input
(图片点击放大查看)
(图片点击放大查看)
GrayLog后台在防火墙上放通Input对应端口
firewall-cmd --permanent --zone=public --add-port=5044/tcp
firewall-cmd --reload
(图片点击放大查看)
4、Windows服务器安装sidecar
(图片点击放大查看)
填写API TOken值和Graylog服务器的API接口URL 并注册成服务,然后重启
C:Program FilesGraylogsidecargraylog-sidecar.exe -service install
C:Program FilesGraylogsidecargraylog-sidecar.exe -service start
(图片点击放大查看)
(图片点击放大查看)
5、检查Sidercar客户端是否上线
(图片点击放大查看)
6、采集器配置文件创建
Collectors Configuration
(图片点击放大查看)
(图片点击放大查看)
(图片点击放大查看)
7、采集器管理
采集器配置文件应用到该采集器上
(图片点击放大查看)
(图片点击放大查看)
(图片点击放大查看)
(图片点击放大查看)
8、创建Stream
(图片点击放大查看)
Rule为Match相应的Input
(图片点击放大查看)
(图片点击放大查看)
9、验证
例如触发mstsc远程登录的Windows系统日志,在Graylog上可以查询相应的系统登录日志
(图片点击放大查看)
10、Tips
1)、采集应用型日志
当然你也可以创建filebeat类型的采集器配置,并应用到该Sidecar采集器上
(图片点击放大查看)
这里就不在演示
2)、Inactive的Sidecar如果需要快速清理
调整这里的配置并重启graylog-server服务
(图片点击放大查看)
原文始发于微信公众号(WalkingCloud):Windows服务器安装graylog-sidecar实现系统日志快速接入Graylog
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论