使用graylog3.0收集open×××日誌進行審計

公司使用開源的open，咱們須要收集服務器上的日誌做爲審計。open×××的日誌保存在/etc/open/下，主要有open.log和open-status.log兩個日誌文件。

能夠查看到一些系統信息連接信息，用戶信息

咱們只須要審計，因此只用收集open***-status.log便可

收集方法是在open***服務器上安裝sidcar代理程序和filebeate日誌收集程序，收集日誌發送給graylog。原理以下

安裝sidecar

graylog3.0 使用sidecar代理程序來收集linux和windows主機日日誌。下載地址爲 https://github.com/Graylog2/collector-sidecar/releases
centos 7上使用rpm的格式。

或者直接安裝

rpm -ivh https://github.com/Graylog2/collector-sidecar/releases/download/1.0.1/graylog-sidecar-1.0.1-1.x86_64.rpm

而後編輯配置文件/etc/graylog/sidecar/sidecar.yml

vim /etc/graylog/sidecar/sidecar.yml

這裏首先說明，須要修改的配置文件，只須要修改server_url和server_api_token，官方說明以下

首先咱們要建立一個api token

按照以下方式建立

而後咱們把生成的api token寫入到sidecar.yml配置文件中，在第6行

而後修改第二行server_url

而後修改第22行node_name,主要做爲識別使用，不修改的化默認使用主機名

完成配置文件修改後，安裝sidecar做爲服務器並啓動

graylog-sidecar -service install
systemctl start graylog-sidecar
systemctl enable graylog-sidecar

而後查看服務是否正常運行

一切正常的話，則能夠看到配置的sidecar已經上線

安裝filebeat

在linux上，graylog-sidcar須要第三方程序做爲收集器，有filebeat和nxlog,咱們使用filebeat
地址爲https://www.elastic.co/cn/downloads/beats

我採用rpm包方式安裝

rpm -ivh https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.1.1-x86_64.rpm

安裝完畢後，修改配置文件

vim /etc/filebeat/filebeat.yml

24行 修改成true

28行，修改成open***的日誌路徑

150行，修改成graylog地址

完成後，啓動服務

配置graylog

在graylog中，點擊configuration

而後點擊 create configuration

注意這幾個位置的修改，而後建立
建立完畢後，須要關聯

此時sidecar能夠收集到open***的日誌

而後咱們新建input進行日誌分析

而後按照以下配置

而後咱們就能夠進行分析了，好比搜索用戶lizhenghua

這樣就基本上能夠知足審計需求