Graylog6.0.4下安装graylog2-output-syslog插件实现日志外发到第三方日志服务器

2024-07-29 15:57:00 浏览数 (2)

Graylog6.0.4下安装graylog2-output-syslog插件实现日志外发到第三方日志服务器

说明:GrayLog6.0.4 RHEL9.X下的一键安装脚本

GrayLog6.0.4一键脚本与相关组件压缩包下载链接如下

代码语言:javascript复制
链接:https://share.weiyun.com/iqm6eLyp 密码:5s7bb5
  • 请放在同一个目录下执行脚本,服务器的内存需要不小于8GB
  • 需要在RHEL9.X下的系统下进行安装

具体安装步骤可以参考之前的文章

在AlmaLinux 9.3下使用一键脚本安装最新GrayLog6.0.1版本

进入正题:之前介绍文章利用GrayLog的output功能实现简单的GrayLog分布式级联

下面Graylog接入Linux服务器SSH登录失败日志通过此插件,以Syslog方式外发到第三方日志服务器

1、下载graylog2-output-syslog插件并安装

下载地址https://github.com/wizecore/graylog2-output-syslog

下载 graylog-output-syslog-6.0.4.jar 并上传到Graylog服务器/usr/share/graylog-server/plugin/目录

然后重启graylog-server服务systemctl restart graylog-server

2、Linux服务器配置rsyslog

3、GrayLog服务器中配置Linux服务器SSH登录失败的Stream

配置Stream Rules 需要同时满足两个条件

  • gl_source_input需要match input指定的Input
  • messages中需要包含Failed password关键字

4、System/Outputs新建一个Syslog Outputs

名称,协议类型、端口,格式

5、Streams配置Manage Outputs

选择已存在的Output然后Assign

6、测试效果

例如触发了登录失败的日志,可以在Stream LoginFailedLogin看SSH登录失败的日志

在第三方日志服务器可以收到从Graylog发过来的日志 我这里用nc -l -u -p2514模拟第三方日志服务器

以上就是使用 graylog2-output-syslog插件的简单示例效果

0 人点赞