使用 graylog3.0 收集 open××× 日志进行审计_年轻人,少吐槽,多搬砖的技术博客_51CTO 博客


本文由 简悦 SimpRead 转码, 原文地址 blog.51cto.com

公司使用开源的 open***,我们需要收集服务器上的日志作为审计。open××× 的日志保存在 / etc/open***/ 下,主要有 open***.log 和 open***-status.log 两个日志文件。

invalid image (图片无法加载)

可以查看到一些系统信息链接信息,用户信息

invalid image (图片无法加载)

invalid image (图片无法加载)

我们只需要审计,所以只用收集 open***-status.log 即可

收集方法是在 open*** 服务器上安装 sidcar 代理程序和 filebeate 日志收集程序,收集日志发送给 graylog。原理如下

invalid image (图片无法加载)

graylog3.0 使用 sidecar 代理程序来收集 linux 和 windows 主机日日志。下载地址为  https://github.com/Graylog2/collector-sidecar/releases
centos 7 上使用 rpm 的格式。

invalid image (图片无法加载)

或者直接安装

然后编辑配置文件 / etc/graylog/sidecar/sidecar.yml

这里首先说明,需要修改的配置文件,只需要修改 server_url 和 server_api_token,官方说明如下

invalid image (图片无法加载)

首先我们要创建一个 api token

invalid image (图片无法加载)

按照如下方式创建

invalid image (图片无法加载)

然后我们把生成的 api token 写入到 sidecar.yml 配置文件中,在第 6 行

invalid image (图片无法加载)

然后修改第二行 server_url

invalid image (图片无法加载)

然后修改第 22 行 node_name, 主要作为识别使用,不修改的化默认使用主机名

invalid image (图片无法加载)

完成配置文件修改后,安装 sidecar 作为服务器并启动

然后查看服务是否正常运行

invalid image (图片无法加载)

一切正常的话,则可以看到配置的 sidecar 已经上线

在 linux 上,graylog-sidcar 需要第三方程序作为收集器,有 filebeat 和 nxlog, 我们使用 filebeat
地址为 https://www.elastic.co/cn/downloads/beats

invalid image (图片无法加载)

我采用 rpm 包方式安装

invalid image (图片无法加载)

安装完毕后,修改配置文件

24 行 修改为 true

invalid image (图片无法加载)

28 行,修改为 open*** 的日志路径

invalid image (图片无法加载)

150 行,修改为 graylog 地址

invalid image (图片无法加载)

完成后,启动服务

在 graylog 中,点击 configuration

invalid image (图片无法加载)

然后点击 create configuration

invalid image (图片无法加载)

注意这几个位置的修改,然后创建
创建完毕后,需要关联

invalid image (图片无法加载)

此时 sidecar 可以收集到 open*** 的日志

然后我们新建 input 进行日志分析

invalid image (图片无法加载)

然后按照如下配置

invalid image (图片无法加载)

然后我们就可以进行分析了,比如搜索用户 lizhenghua

invalid image (图片无法加载)

这样就基本上可以满足审计需求


Jonny 2022年2月23日 18:10 343 0 条评论 收藏文檔
表情图片预览
0 条评论
  • 最早
  • 最新