Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.

Link zu der Vergleichsansicht

Nächste Überarbeitung		 Vorherige Überarbeitung
Nächste ÜberarbeitungBeide Seiten, nächste Überarbeitung
server_und_serverdienste:graylogserver [2019/01/20 00:09] – angelegt boospyserver_und_serverdienste:graylogserver [2019/03/24 22:54] boospy
Zeile 43: Zeile 43:
 apt update && apt install graylog-server apt update && apt install graylog-server
 </code> </code>
-Als erstes konfiguriert man Graylog in der Datei ''/etc/graylog/server/server.conf'' und fügt die Optionen ''password_secret'' und ''root_password_sha2'' hinzu. Diese Optionen sind verpflichtend. Ohne diese startet Graylog nicht. +Als erstes konfiguriert man Graylog in der Datei ''/etc/graylog/server/server.conf'' und fügt die Optionen ''password_secret'' (pwgen -N 1 -s 96) und ''root_password_sha2'' hinzu. Diese Optionen sind verpflichtend. Ohne diese startet Graylog nicht. 
  
 Um ''root_password_sha2'' zu generieren bedienst man sich z.B. folgendem Befehle: Um ''root_password_sha2'' zu generieren bedienst man sich z.B. folgendem Befehle:
Zeile 63: Zeile 63:
 systemctl start graylog-server.service systemctl start graylog-server.service
 </code> </code>
 +
 +===== Übertragen von Logs zu Graylog =====
 +Das Prinzip funktioniert gleich wie bei syslog/rsyslog. Am Graylogserver gibt es jede Menge Inputs/Plugins. Syslog ist eines davon und muss im Webinterface aktiviert werden. "System --> Notes --> Note auswählen --> Manage Inputs". Normalerweise würde man Sysloginput auf Port 514 (Defaul) konfigurieren. Leider kann man dann nur als Root darauf zugreifen. Wir haben nun die Möglichkeit mit IPtables das Port um zu mappen, z.B. 
 +<code>
 +iptables -t nat -A PREROUTING -p tcp --dport 514 -j REDIRECT --to 1514
 +iptables -t nat -A PREROUTING -p udp --dport 514 -j REDIRECT --to 1514
 +</code>
 +Oder wir setzen das Port am Input gleich auf 1514 UDP. Das ist die einfachste Lösung. 
 +
 +==== Konfiguration des Clients ====
 +Auf Linux muss Rsyslog installiert und folgendes Konfig gesetzt werden:
 +<code>
 +nano /etc/rsyslog.d/51-remote.conf
 +
 +*.* @FQDN.bla.local:1514;RSYSLOG_SyslogProtocol23Format
 +</code>
 +Nun noch den Dienst durchstarten:
 +<code>
 +systemctl restart rsyslog.service
 +</code>
 +Danach werden die Logs bereits übertragen. Drucker, Switch, Fortigate und usw. sind da auch ganz einfach zu konfigurieren. 
 +
 +
 +
 +