Graylog6.0.4下安装graylog2-output-syslog插件实现日志外发到第三方日志服务器
说明:GrayLog6.0.4 RHEL9.X下的一键安装脚本
GrayLog6.0.4一键脚本与相关组件压缩包下载链接如下
代码语言:javascript复制链接:https://share.weiyun.com/iqm6eLyp 密码:5s7bb5
- 请放在同一个目录下执行脚本,服务器的内存需要不小于8GB
- 需要在RHEL9.X下的系统下进行安装
具体安装步骤可以参考之前的文章
在AlmaLinux 9.3下使用一键脚本安装最新GrayLog6.0.1版本
进入正题:之前介绍文章利用GrayLog的output功能实现简单的GrayLog分布式级联
下面Graylog接入Linux服务器SSH登录失败日志通过此插件,以Syslog方式外发到第三方日志服务器
1、下载graylog2-output-syslog插件并安装
下载地址https://github.com/wizecore/graylog2-output-syslog
下载 graylog-output-syslog-6.0.4.jar 并上传到Graylog服务器/usr/share/graylog-server/plugin/目录
然后重启graylog-server服务systemctl restart graylog-server
2、Linux服务器配置rsyslog
3、GrayLog服务器中配置Linux服务器SSH登录失败的Stream
配置Stream Rules 需要同时满足两个条件
- gl_source_input需要match input指定的Input
- messages中需要包含Failed password关键字
4、System/Outputs新建一个Syslog Outputs
名称,协议类型、端口,格式
5、Streams配置Manage Outputs
选择已存在的Output然后Assign
6、测试效果
例如触发了登录失败的日志,可以在Stream LoginFailedLogin看SSH登录失败的日志
在第三方日志服务器可以收到从Graylog发过来的日志 我这里用nc -l -u -p2514模拟第三方日志服务器
以上就是使用 graylog2-output-syslog插件的简单示例效果
