Graylog安装配置手册v1.0

Graylog配置手册WrittenBySuntengfei2016/1/21目录1环境架构...............................................................................................................................................32准备.......................................................................................................................................................33安装Graylog虚拟机............................................................................................................................34Graylog初始化...................................................................................................................................134.1Plugin...........................................................................................................................................154.1.1Plugin安装..........................................................................................................................155配置Input收集Syslog.......................................................................................................................155.1配置GraylogInputs....................................................................................................................155.2配置交换机syslog......................................................................................................................185.3配置esxisyslog...........................................................................................................................185.4通过Stream将日志转发给Splunk...........................................................................................205.4.1定义output策略...............................................................................................................205.4.2定义过滤规则.....................................................................................................................215.4.3Splunk配置接收.................................................................................................................241环境架构Esxi与Switch通过SyslogUDP514端口将数据吐给Graylog，Graylog将收集到的数据经过Stream过滤，通过TCP12999端口转发给splunk2准备在官方下载OVA版本Graylog，下载后如图3安装Graylog虚拟机1.导入模版2.浏览，找到你放置graylog.ova的位置EsxiSyslogSwitchSyslogGraylogSplunk输入名字选择群集选择主机选择资源池，如果你没有开DRS，则没有该步骤选择存储选择网络完成4Graylog初始化网卡默认情况下是通过DHCP获取IP的，如果你没有开启DHCP，就需要手动配置默认的用户名与密码：ubuntu切换到root配置网络sudo-i配置网卡Vim/etc/network/interfaces设置为静态获取，添加IP，子网掩码，网关开启graylog的服务，默认服务都是没有运行的sudograylog-ctlset-timezoneAsia/Shanghai设置时区sudograylog-ctlset-admin-passwordpassword/修改admin密码sudograylog-ctlreconfigure配置完以上内容后要重启服务器reboot打开浏览器，，默认用户名和密码是admin4.1Plugin4.1.1Plugin安装在官方网站有许多Plugin，可以帮助你快速部署Inputs，这里以SNMP为例下载.jar文件，并放在/opt/graylog/plugin文件目录下（注：如果上传不上去，可能是目录没有权限，要赋予目录权限）上传后，使用ls查看安装SNMPsudoapt-getinstallsnmpsnmpdsnmp-mibs-downloader重启graylog5配置Input收集Syslog接下来我们要用Graylog收集交换机、ESXi等的syslog5.1配置GraylogInputsLauchNewInput5.2配置交换机syslog进入ciscoconfig模式:logginghostsyslogserverIPAddressloggingtrap6loginon-failurelogloginon-successlogarchivelogconfigloggingenableloggingsize200notifysyslogcontenttypeplaintextintrangeinterfaceloggingeventlink-statusloggingeventtrunk-status5.3配置esxisyslog1.开启ESXi主机防火墙上syslog通讯端口2.在ESXi主机上指定syslog服务器即Splunk服务器5.4通过Stream将日志转发给Splunk通过Graylog收集日志，经过Stream过滤日志，将日志转发给Splunk。这种规则定义的顺序是，先建立output策略，然后定义stream过滤规则，最后将过滤规则绑定到output策略上5.4.1定义output策略在官方下载splunkAdd-on将下载后的包放到/opt/graylog/plugin/目录下，然后重启graylog这时在output里就能看到splunk这个content了填写splunk主机地址、端口配置完成如下5.4.2定义过滤规则编辑转发规则这里我的策略意思是所有来自172.16.5.253这个源的日志转发，你也可以定义其他值当你有多个规则时，你可以选择以下规则，由于这我是要转发好几台交换机的日志，所以只要符合任意一个规则就转发Amessagemustmatchallofthefollowingrules必须符合所有规则Amessagemustmatchatleastoneofthefollowingrules符合任意一个规则配置过滤策略绑定到相应的output选择已存在output策略splunk_cisco（上面创建的output）绑定绑定后就出自动出现如下界面进入stream，开始该过滤策略5.4.3Splunk配置接收登陆Splunk，选择setting-DataInputs选择TCP，由于上面在graylogoutput里设置的端口是TCP12999端口，这里splunk也要选择tcpNew新建填写TCP端口，其他保持默认选择sourcetype选择对应的APP，如果不知道就选择searching&reporting选择对应的Index，默认是存放在main里的，如果想要创建就创一个，比如创建一个cisco的index检查确认没有问题提交，splunk处配置完成