iT邦幫忙

1

將Graylog 的data轉發到 Splunk

  • 分享至 

  • xImage

會發這篇文是因為英明神武的主管要求要我將正在測試階段的Graylog,還要要求只能用一種agent (e04)
裡面收納的Log要轉發到測試版的splunk 這裡不介紹怎麼安裝(google就一堆資料)

本篇的難點在於怎麼用nxlog 轉發windows的eventlog且要用GELF 給Graylog , syslog方式 傳輸給splunk
餵狗還找不到答案

測試主機:

吐出Log的主機
OS:Windows 2016 up
services:Nxlog

Graylog
OS:Centos8
services:Graylog
ip:192.168.1.20
Splunk

OS:Centos8
Services:Splunk8.x
ip:192.168.1.21

架構圖:
https://ithelp.ithome.com.tw/upload/images/20201028/200657467BDMuD4xwh.png

目前所有主機都將log吐給Graylog 現在要做的是把所有數據餵給給Splunk 而數據一樣要餵給Graylog(不改Server指向的log server ip )

linux主機:
可透過rsyslog轉發(rsyslog 預設收log的檔案為/var/log/message,且Graylog用syslog收集的log
除了elasticsearch外.本身的/var/log/message會有data,所以我只要做轉發 就可以將收集到的syslog data轉到Splunk的/var/log/message讓splunk關注/var/log/message就好)

Windows主機:
可透過syslog方式及GELF(graylog)發送log給graylog
本次是使用GELF發送log(GELF發送的話會自動將log做整理 這樣才能做儀表板上的top 10)

設定
Graylog:
$ vi /etc/rsyslog.conf

. @192.168.1.21 #增加splunk ip
. @127.0.0.1:10514;RSYSLOG_SyslogProtocol23Format #原本Graylog設定
. @127.0.0.1:10554;RSYSLOG_SyslogProtocol23Format #原本Graylog設定

Windows
nxlog.conf

Panic Soft
#NoFreeOnExit TRUE

define ROOT C:\Program Files (x86)\nxlog
define CERTDIR %ROOT%\cert
define CONFDIR %ROOT%\conf
define LOGDIR %ROOT%\data
define LOGFILE %LOGDIR%\nxlog.log
LogFile %LOGFILE%

Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data

<Route 1>
Path in => out

<Route 2>
Path in => out1


splunk
設定data來源
1./var/log/message
2.udp 10555port (可自訂 splunk & nxlog.conf要一致)

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

0
Kailis
iT邦研究生 1 級 ‧ 2020-11-02 11:09:47

想請問貴公司主管是在想什麼?
從免費的graylog 要轉到幾百萬的splunk ?
好吧, 也許貴公司真的很有錢
若有這些預算, 不如直接導 SIEM 更值得

loke0204 iT邦新手 2 級 ‧ 2020-11-02 17:02:11 檢舉

我們公司真的蠻有錢的= =...主管是希望多多比較 目前splunk還是試用版

我要發表回答

立即登入回答