文章/答案/技术大牛

发布

GrayLog文章集锦

共 28 篇文章

使用Telegraf+GrayLog实现Linux业务系统服务异常时自动推送钉钉告警

GrayLog使用HTTP JSONPath方式调用微步在线云API识别威胁IP

使用GrayLog对PrometheusAlert推送的安全告警进行图形报表统计与分析

Windows服务器安装graylog-sidecar实现系统日志快速接入Graylog

数据采集神器Telegraf对接开源日志服务器GrayLog

利用GrayLog的output功能实现简单的GrayLog分布式级联

GrayLog+nxlog采集邮箱登录日志csv文件并实现邮箱异地登录钉钉机器人告警

只能使用UDP:514端口接收Syslog日志的两种解决方法

开源蜜罐Hfish的简单部署并接入到GrayLog

一键安装脚本实现快速部署GrayLog Server 4.2.10单机版

利用GrayLog告警功能实现钉钉群机器人定时工作提醒

Linux主机安装NetFlow采集器并使用Graylog进行网络流量分析

CentOS7下部署OSSEC开源主机入侵检测系统(HIDS)并接入到GrayLog

Sysmon+Nxlog+GrayLog实现Windows服务器安全日志监控

Linux防暴力破解工具Fail2ban的日志接入到GrayLog并实现GeoIP展示

Nginx访问日志接入GrayLog4.2.5并通过GeoIP展现访问者IP的地理位置信息

商业堡垒机对接GrayLog实现生产服务器高危命令钉钉机器人自动告警

使用腾讯云SSL证书为GrayLog Web接口配置nginx HTTPS/SSL反向代理

GrayLog中使用Prometheus Alert实现钉钉群机器人自动告警

Graylog4.2集群部署完整教程

GrayLog配置SSH暴力破解攻击日志告警并推送到钉钉机器人

【实践】GrayLog4.2使用webhook成功推送日志告警到钉钉群机器人

【已修复Log4j2漏洞】GrayLog安全版本4.2.3升级实践

利用pipeline实现GrayLog中用日志源IP地址区分主机

Graylog4.2+GeoIP2获取SSH暴力破解攻击者IP的地理位置信息

使用EVE-NG模拟山石网科防火墙syslog日志接入GrayLog4.1

开源日志管理系统Graylog之Sidecar功能实践

CentOS7下部署Graylog开源日志管理系统

清单首页GrayLog文章集锦文章详情

清单「GrayLog文章集锦」 27/28

开源日志管理系统Graylog之Sidecar功能实践

yuanfan2012·小厂搬砖

在之前搭建完GrayLog的基础上(参考之前的文章CentOS7下部署Graylog开源日志管理系统)

参考GrayLog官方帮助文档中关于sidecar的详细介绍动手实践验证sidecar日志采集功能

https://docs.graylog.org/en/3.3/pages/sidecar.html

下面为详细步骤：（点击图片查看清晰大图）

1、添加Beats类型的Input

2、创建graylog-sidecar的token

3、先在Linux主机上安装sidecar客户端和filebeat

两种方式：

1)安装Graylog Sidecar存储库配置后yum install graylog-sidecar

rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-sidecar-repository-1-2.noarch.rpm
yum install graylog-sidecar

2)rpm -ivh 方式本地安装

https://github.com/Graylog2/collector-sidecar/releases

这里下载sidecar的x86_64位版本的rpm包(同时也把windows版本也下载下来，后面介绍)

filebeat最新的安装包https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.8.0-x86_64.rpm

rpm -ivh graylog-sidecar-1.0.2-1.x86_64.rpm 
rpm -ivh filebeat-7.8.0-x86_64.rpm

并修改配置文件

vi /etc/graylog/sidecar/sidecar.yml
1）#server_url: "http://127.0.0.1:9000/api/"
修改为http://192.168.31.80:9000/api/
2）server_api_token: "bavcp8u7sanaottr2lllg2ebogsn6brfgnifa76vm3ec8n64k50"
3）#node_name: ""改为node_name: "192.168.31.194_CentOS7"
4）取消#update_interval: 10的注释update_interval: 10
5）取消#send_status: true 的注释send_status: true

graylog-sidecar -service install
systemctl start graylog-sidecar

这时在sidecar总览界面看到192.168.31.194在线

4、配置采集规则

1）Sidecars Overview界面点击Configuration按钮

2）点击Create Configuration创建配置

Name自定义为CentOS7_collector_cfg

Configuration color挑选一个颜色

Collector选择为filebeat on Linux类型

Configuration配置文件修改

例如 paths: - /opt/nginx/*.log 也就是采集/opt/nginx/目录下.log结尾的日志

output.logstash: hosts: ["192.168.31.80:5044"] 发给192.168.31.80的5044端口，也就是之前创建的beats 5044接收端口

最后配置好之后，点Create保存配置

5、下发配置文件

先回到Sidecars Overview界面，点击Administration管理按钮，进行配置下发

6、验证日志采集是否生效

例如/opt/nginx目录下有日志产生

点击show messages 可以查询对应日志说明正常采集

7、windows版本的graylog-sidecar安装与配置

https://github.com/Graylog2/collector-sidecar/releases/download/1.0.2/graylog_sidecar_installer_1.0.2-1.exe

windows版本sidecar已经集成了filebeat和winlogbeat

1)安装graylog-sidecar

2)安装过程中配置相关参数

API URL http://192.168.31.80:9000/api

实例名 Win7_192.168.31.38

填入GrayLog的API token

3)完成安装

4)命令行注册服务，并启动服务

"C:\Program Files\graylog\sidecar\graylog-sidecar.exe" -service install
"C:\Program Files\graylog\sidecar\graylog-sidecar.exe" -service start

这时可以在服务里看到sidecar注册到系统服务中了

5)grayLog中也可以看到该windows主机上线了

6)这时可以创建一个windows filebeat类型的采集规则配置然后进行下发，具体步骤就不赘述了，见下面步骤截图最后验证一下效果

GrayLog文章集锦

开源日志管理系统Graylog之Sidecar功能实践

1、添加Beats类型的Input

2、创建graylog-sidecar的token

3、先在Linux主机上安装sidecar客户端和filebeat

4、配置采集规则

5、下发配置文件

6、验证日志采集是否生效

7、windows版本的graylog-sidecar安装与配置

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐