>_Graylog2 – Gerência centralizada de Logs – Graylog2 Web – Inputs Syslog UDP – 1.3

imagesNeste terceiro tutorial, será abordado os primeiros passos com o Graylog2 Web. Irei comentar sobre como configurar um Input, como ajustar o Syslog e por fim a criação de um Stream para SSH.

Logando no Graylog2 Web.

graylog-1

System.

Em System Overview, temos as principais opções de configuração do Graylog2 Web. Abaixo será relatado algumas delas.

system-overview

Overview.

Notifications.
Aqui é informado as notificações referente ao Graylog2.

System Jobs.
Em system Jobs é informado quais os Jobs que estão ativos.

Elasticsearch cluster.
Informações sobre o EliasticSearch.
Obs: A cor verde, corresponde que o ElasticSearch está ativo.

Time configuration.
Informações sobre data e horário.

System messages.
Serão exibidas as mensagens geradas pelo Graylog Server. Uma especie de Log da aplicação.

Streams.
Em Streams será configurado os fluxos de regras criadas conforme os filtros correspondendes.Você pode, por exemplo, criar um fluxo que contém todos os logins de SSH e configurar para ser avisado sempre que houver mais logins do que o habitual.

Dashboards.
Em Dashboards é possível criar vários tipos de visualizações. Como exemplo, a criação de um painel de instumento onde possa ser exibido gŕaficos ou informações de eventos.

Nodes.

Em nodes é possível ter uma visão em tempo real de todos os nós do Cluster Graylog2.

Inputs.

Aqui são configuradas as entradas dos eventos. Sem nenhum tipo de input (entrada), não é possível obter nenhum tipo de evento.

Outputs.

Aqui são configuradas as opções de saída dos eventos. No graylog2 é possível encaminhar eventos através de um output (saída) e em seguida atribuí-los aos fluxos, sendo possível ler em tempo real.

Índices.

Esta é uma visão geral de todos os índices do Graylog2. Você pode aprender mais sobre o modelo de índice na documentação.

Loggins – Users – Roles.

Informações sobre/inclusão de Usuários e Regras para acesso no Graylog2 Web.

Passo 1 – Verificando o primeiro alerta em System/Overview.

1

2

O alerta acima, está informando que não há nenhum input configurado.

Passo 2  – Criando o primeiro input via Syslog UDP.

3

Em Launch new input – Selecione a opção Syslog UDP.

4

Em Launch new input: Syslog UDP, será informado os dados para criação do Input.

Opções mais importantes:
Started on node: Node que receberá o input (entrada) dos eventos.
Title: Nome que será dado ao input que está sendo criado.
Bind Address: IP do servidor Graylog2 Server que receberá os eventos através do input.
Port: A porta padrão é a 514, porém como o serviço não irá rodar como root, será alterada para 1514.

5

6

7

Passo 3 – Iniciando o input Syslog-UDP.
Para iniciar, bastar aplicar o Start input.8

Passo 4 – Configurando o Syslog no servidor Graylog2.

Para enviarmos os eventos no formato padrão Syslog, será necessário realizar uma pequena alteração no rsylog.d. Basta criar o arquivo 10-graylog2.conf dentro do diretório /etc/rsyslog.d.

Neste arquivo deverá conter o formato (template) padrão do Syslog, para envio dos eventos.
Também deverá conter no arquivo a regex (*.*) @IP:PORTA;NOME-DO-TEMPLATE que receberá os eventos enviados.

Obs: Esta alteração deverá ocorrer em todos os servidores que queiram enviar os eventos para o Graylog2.

# # cd /etc/rsyslog.d/
# vim 10-graylog2.conf
# Format input Syslog UDP - Graylog2.
$template GRAYLOGRFC5424,"<%pri%>%protocol-version% %timestamp:::date-rfc3339% %HOSTNAME% %app-name% %procid% %msg%\n"
*.* @10.1.10.57:1514;GRAYLOGRFC5424

Após o ajuste, basta reiniciar o serviço do Rsylog.

# systemctl restart rsyslog

Em seguida, no Graylog2 Web, basta verificar os eventos que estão sendo coletados através do input Syslog-UDP do servidor graylog2 (ele mesmo).

10

11

12

13

Passo 5 – Criando o primeiro Streams.

Com os Streams, é possível criar regras correspondentes a um determinado filtro. O evento pode ser encaminhado para diversos tipos de fluxos/inputs. Você pode por exemplo, criar um fluxo que contém todos os logins de SSH e em seguida configurá-los para informá-lo sempre quando houver um login com falha ou com sucesso.

Exemplo:

Criando um Streams na Field (message) com o Filtro (pam_unix(sshd:session): session opened for user root by (uid=0)).

15

Clique em Create Stream.16

Em seguida, de um nome ao Title e um breve descrição em Description.17

Selecione o input (Syslog-UDP).
Obs: Sem o input selecionado não é possível criar o Stream.
18

Em Field – Selecione no campo (message).19

Em Type – Selecione match exactly.
Em Value – Informe a mensagem. (pam_unix(sshd:session): session opened for user root by (uid=0)).

Aqui é possível trabalhar com diversas opções, entre elas é possível utilizar também Regex.

21

Após a criação do Streams, basta confirmar em I’m Done!
22

Para iniciar o Stream criado (Session Opened root), bastá aplicar o Start Stream.23

Para validar o Stream que acabou de ser criado, basta ir até o evento relacionado com a message (pam_unix(sshd:session): session opened for user root by (uid=0)), e aplicar um Test Against Stream na Stream Session Opened root.
24

Se tudo correu bem, será informado em Manage Stream Rules, que o fluxo/filtro foi roteada com sucesso.25

Basta agora realizar um login via ssh, e em seguida verificar no stream que foi criado o evento coletado.26

>_Graylog2 – Gerência centralizada de Logs – Graylog2 Web – Inputs Syslog UDP – 1.3
Tagged on:

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

%d blogueiros gostam disto: