Como enviar logs do syslog para GrayLog

Introdução

O syslog-ng é um daemon desenvolvido para registros de mensagens do sistema permitindo transferência segura e confiável, extração e processamento flexíveis de dados, essas mensagens pode se armazenado localmente ou pode ser enviado para algum servidor de log.

O Graylog aceita logs do Syslog, porém muitos equipamentos em especial roteadores e firewalls não enviam mensagem Syslog, mas você pode usar plugins disponível no marketplace do Graylog.

Configurando Input Graylog.

Em primeiro lugar, vamos criar um input. Os inputs serve para informar ao Graylog qual porta escutar e qual protocolo será usado.

Acesse o Graylog e navegue até System -> Inputs selecione SysLog UDP e Launch new Input

 

Após clicar em Launch new input, preencha:

  1. Node: Selecione o seu server;
  2. Title: Entre com um titulo, como “Log Syslog”;
  3. Bind address: Insira o Ip da Interface referente a graylog server ou 0.0.0.0 para todas as interface;
  4. Port: Portas abaixo de 1024 pode ser manipulada somente pelo root. Neste caso escolha uma porta acima de 1024, desde que não entre em conflito com outro serviço, vamos usar a 1514;
  5. Clique em Salva.

Após salvar as configurações você observará que o Input criado esta como NOT RUNNING clique em Start Input e aguarde alguns instante para ficar RUNNING:

 

 

 

Configurando Syslog

Em seguida, configure o syslog-ng para enviar o log para o servidor Graylog. Crie um arquivo rsyslog.

sudo vim /etc/rsyslog.d/70-graylog.conf

E adicione essas linhas:

*.* @IP_DO_GRAYLOG:1514;RSYSLOG_SyslogProtocol23Format

Por fim, reinicie o serviço:

sudo systemctl restart rsyslog

Após reiniciar o serviço, acesse o GrayLog navegue até Source para visualizar o gráfico das origens, você visualizará algo como:

 

Clique Search para obter um overview dos logs recentes.

E se ficou com alguma dúvida envie um e-mail para bramos@onxsolutions.net.

Fonte:
http://docs.graylog.org/en/2.4/pages/sending_data.html
https://marketplace.graylog.org/addons/a47beb3b-0bd9-4792-a56a-33b27b567856

 

About: Bezaleel Ramos

Fundador da empresa Onx Solutions em Goiânia. Formado em Tecnologia em Redes de Computadores pela Universidade Nove de Julho em São Paulo. Possui certificações LPIC-1,LPIC-2, ZABBIX Certified Specialist,Novell Certified Linux Administrator (CLA) e Linux Administrator for SUSE Linux Enterprise.