Menü Schließen

Graylog syslog als UDP TCP Input hinzufügen

graylog Logo

Ich habe in diesem Artikel beschrieben, wie ich unter Debian den Server zum zentralen Mangement für Logs und Auswertungen, Graylog, installiert habe. Damit nun die Logs und hier speziell das Syslog der Debian Systeme meiner Testumgebung, vom Graylog angenommen und verarbeitet werden können, muss dies wie folgt konfiguriert werden.

Im Hauptmenü von Graylog:

  • auf System / Inputs > hier auf Inputs klicken
  • nun in das Feld “syslog udp” auswählen und auf Launch new Input klicken
graylog Menü Inputs
graylog Menü Inputs

Folgende Daten eintragen

  • Node: Node auswählen
  • Title: syslog
  • Bind address: 0.0.0.0
  • Port: 5140
  • Allow overriding date?: aktiviert

Als Port wird einer >1024 verwendet. Alle <1024 sind die priviligierten Ports für die root / höhere Rechte benötigt werden.

Node konfigurieren – Logs an Graylog senden

Auf dem Node, also dem System dass die Logs an den Graylog Server sendet, muss dann folgendes im rsyslog konfiguriert werden, wobei der Unterschied zwischen UDP und TCP die Anzahl der @-Zeichen ist.

nano /etc/rsyslog.d/90-graylog.conf

UDP

*.* @GraylogServerName oder IP:5140;RSYSLOG_SyslogProtocol23Format

TCP

*.* @@GraylogServerName oder IP:5140;RSYSLOG_SyslogProtocol23Format

Dienst neustarten

# systemctl restart rsyslog

Auf dem Server unter Inputs kann der Input gestartet werden.

Graylog Start Input Button
Graylog Start Input Button
Graylog Start Input success
Graylog Start Input success
Graylog Start syslog UDP Running
Graylog Start syslog UDP Running

Um die Ereignisse zu sehen, im Menü auf Search klicken. Unter All Messages sind dann die Infos zu sehen. Ggf. muss oben die Zeit From: 5minutes ago angepasst werden.

Graylog Server Messages
Graylog Server Messages

Thats it … Have Fun!

1 Kommentar

  1. Pingback:Debian zentraler Logserver mit Graylog und Elasticsearch – TASTE-OF-IT

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert