本文由 简悦 SimpRead 转码, 原文地址 blog.51cto.com
公司使用开源的 open***,我们需要收集服务器上的日志作为审计。open××× 的日志保存在 / etc/open***/ 下,主要有 open***.log 和 open***-status.log 两个日志文件。
可以查看到一些系统信息链接信息,用户信息
我们只需要审计,所以只用收集 open***-status.log 即可
收集方法是在 open*** 服务器上安装 sidcar 代理程序和 filebeate 日志收集程序,收集日志发送给 graylog。原理如下
graylog3.0 使用 sidecar 代理程序来收集 linux 和 windows 主机日日志。下载地址为 https://github.com/Graylog2/collector-sidecar/releases
centos 7 上使用 rpm 的格式。
或者直接安装
然后编辑配置文件 / etc/graylog/sidecar/sidecar.yml
这里首先说明,需要修改的配置文件,只需要修改 server_url 和 server_api_token,官方说明如下
首先我们要创建一个 api token
按照如下方式创建
然后我们把生成的 api token 写入到 sidecar.yml 配置文件中,在第 6 行
然后修改第二行 server_url
然后修改第 22 行 node_name, 主要作为识别使用,不修改的化默认使用主机名
完成配置文件修改后,安装 sidecar 作为服务器并启动
然后查看服务是否正常运行
一切正常的话,则可以看到配置的 sidecar 已经上线
在 linux 上,graylog-sidcar 需要第三方程序作为收集器,有 filebeat 和 nxlog, 我们使用 filebeat
地址为 https://www.elastic.co/cn/downloads/beats
我采用 rpm 包方式安装
安装完毕后,修改配置文件
24 行 修改为 true
28 行,修改为 open*** 的日志路径
150 行,修改为 graylog 地址
完成后,启动服务
在 graylog 中,点击 configuration
然后点击 create configuration
注意这几个位置的修改,然后创建
创建完毕后,需要关联
此时 sidecar 可以收集到 open*** 的日志
然后我们新建 input 进行日志分析
然后按照如下配置
然后我们就可以进行分析了,比如搜索用户 lizhenghua
这样就基本上可以满足审计需求
