>_Graylog2 – Gerência centralizada de Logs – Extractors Copy Input – Stream match – 1.6

imagesQuinto tutorial sobre Graylog2. Criando o primeiro Extractors Copy Input e o primeiro Stream.

Extractors
Os Extractors permitem que você instrua o Graylog2 a extrair determinados dados de qualquer evento recebido. Não importando qual seja o formatado ou campo já extraído através de um input.

Streams
O Streams são regras que instruem o Graylog2 a criar uma rota (padrão). Sendo possível a criação de ações (alertas), conforme configuradas pelo Administrador de Sistema.

Passo 1 – Em System -> Input -> Syslog-UDP (Syslog UDP) running -> Show received messages, veremos que há dois eventos informando que no servidor-1 (10.1.10.46) foi instalado dois pacotes do PHP.

Vamos supor que o gerente de infraestrutura deseja saber quais os pacotes que estão sendo instalados em todos os servidores Linux CentOS no Data Center. Por padrão, ele teria que logar no Graylog2 Web e verificar evento por evento, isso seria horrível para ele.

Neste caso, como o Administrador de Sistemas conhece um pouco dos recursos que o Graylog2 oferece, ele por sua vez resolve criar um Extractors, contendo uma regra que facilite na pesquisa dos pacotes que foram e/ou estão sendo instalados nos servidores CentOS do Data Center.

Na figura abaixo, tem dois pacotes que foram instalados. Ao abrirmos o primeiro evento, teremos toda a informação que ele possui. Através dessas informações é que será possível criarmos um Extractors.

1

Passo 2 – Em message -> clique na lupa ao lado direito e em seguida Create extractor for field message -> Copy Input.2

Ao abrir a próxima tela, será exibido algumas opções para criação do extractor.
3

Perceba que estou informando em Field must include this string a palavra “Installed:”
Caso ela exista, será então criado o extractor de Storage pacotes_instalados.
Por fim, basta confirmar a criação em Create Extractor.
4

Passo 3 – Verificando o filtro.
5

5

6

 

Opa, Sucesso! 8

9
10

Passo 4 – Criando um Stream.
Para criar o Stream, será necessário ir em Stream -> Create Stream.11

12

Após a criação do Stream, será necessário a criação da regra em Edit Rules.13

Selecionando o input que contém o evento.
14

Em Edit Stream Rule, será informado selecionado a Field (pacotes_instalados) e em Type a match regular expression, e por fim no campo Value a palavra e o valor da regex  (*).
Tudo que iniciar com a palavra [Installed:  *] será filtrada para a Stream Pacotes Instalados.
15

Após a criação da regra, basta confirmar em I’m done!.16

Iniciando a Stream.17

Validando a Stream.18

Validação confirmada.19

Feito.20

Fontes:
http://docs.graylog.org
www.softwarelivre.gov.br

>_Graylog2 – Gerência centralizada de Logs – Extractors Copy Input – Stream match – 1.6
Tagged on:

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

%d blogueiros gostam disto: