Graylog 5.0: Protokollmonitoring Windows-Rechner mit Sidecar
ermöglicht den Masseneinsatz von Sidecars und erlaubt mehrere Konfigurationen pro Collector. Zudem bietet sie die Verwendung von Tags zur Organisation und Automatisierung, um den Konfigurationsprozess zu beschleunigen. Folgen Sie den Anweisungen, um Graylog Sidecar einzurichten und Protokolle von verschiedenen Protokollsammlern zu sammeln.
Hinweis
Graylog 5.0 enthält Aktualisierungen für den Sidecar. Der Masseneinsatz von Sidecars ist nun möglich, da mehrere Konfigurationen pro Collector erlaubt sind.
Mit 5.0 können Tags zur Organisation und Automatisierung verwendet werden, was den Konfigurationsprozess erheblich beschleunigt. Siehe Zuweisung von Tags für weitere Einzelheiten.
Graylog Sidecar
Graylog Sidecar ist ein leichtgewichtiges Konfigurationsmanagementsystem für verschiedene Protokollsammler, auch Backends genannt. Der (die) Graylog-Knoten fungiert (fungieren) als zentraler Knoten, der die Konfigurationen der Protokollsammler enthält. Sidecar kann als Dienst (Windows-Host) oder als Daemon (Linux-Host) auf den unterstützten nachrichtenproduzierenden Geräten/Hosts ausgeführt werden.
Die Konfigurationen des Protokollsammlers werden zentral über die Graylog-Webschnittstelle verwaltet. Der Sidecar-Daemon ruft in regelmäßigen Abständen alle relevanten Konfigurationen für das Ziel mithilfe der REST-API ab. Bei seinem ersten Lauf oder wenn eine Konfigurationsänderung festgestellt wird, generiert (rendert) Sidecar relevante Backend-Konfigurationsdateien. Anschließend werden die neu konfigurierten Log Collectors gestartet bzw. neu gestartet.
Installation
Sie können .deb- und .rpm-Pakete für Graylog Sidecar aus dem Paket-Repository herunterladen. Für Windows können Sie das Installationsprogramm hier herunterladen.
Bitte folgen Sie der Versionsmatrix, um das richtige Paket auszuwählen:
Sidecar Version | Graylog Server Version |
1.4.x | 5.0.x |
1.3.x | 5.0.x |
1.2.x | 3.2.5 or higher |
1.1.x | 3.2.5 or higher |
1.0.x | 3.0 or higher |
0.1.x | 2.2.x, 2.3.x, 2.4.x, 2.5.x, 3.0.x, 4.0.x |
0.0.9 | 2.1.x |
Bevor Sie mit dem Einrichten von Sidecar unter Windows beginnen, konfigurieren Sie Ihre Graylog Server so, dass sie Windows Sidecar-Protokolle über Port 5044 empfängt.
- Navigieren Sie zu System > Inputs
- Wählen Sie einen Eingang (Select Input) aus dem ersten Dropdown-Menü auf dem Bildschirm “Inputs”
- Wählen Sie Beats
- Klicken Sie auf die Schaltfläche “Launch new input”, um ein neues Formular aufzurufen
- Markieren Sie das Feld Global.
- Vergeben Sie einen Namen / Titel
- Stellen Sie sicher, dass das Feld Port auf 5044 eingestellt ist
Ein API-Token erstellen
- Navigieren Sie zu System > Sidecars, und klicken Sie auf den Erklärungstext: Erstellen oder wiederverwenden Sie ein Token für den Benutzer graylog-sidecar (Create or reuse a token for the graylog-sidecar user).
- Geben Sie den Namen Ihrer Wahl in das Feld Tokenname ein.
- Klicken Sie auf die Schaltfläche Token erstellen.
- Speichern Sie das API-Server-Token an einem sicheren, aber zugänglichen Ort, falls Sie es wieder abrufen müssen.
Installation von Kollektoren
Graylog enthält Standardkonfigurationen für Filebeat, Winlogbeat und NXLog. Wir verwenden in diesem Tutorial NXLog-Kollektor.
Installieren Sie das NXLog-Paket von der offiziellen Download-Seite.
Da Sidecar die Kontrolle über das Beenden und Starten von NXlog übernimmt, ist es notwendig, alle laufenden Instanzen von NXlog zu beenden und den Standard-Systemdienst zu dekonfigurieren (Konsolenfenster mit Administratorenrechten starten):
"C:\Program Files\nxlog\nxlog" -u
Sollte folgende Ausgabe angezeigt werden:
Service is running, please stop it first.
Führen Sie zuerst folgenden Befehl aus:
"C:\Program Files\nxlog\nxlog" -s
Ausgabe:
Service currenty active - stopping service...
Und anschließend noch einmal
"C:\Program Files\nxlog\nxlog" -u
Ausgabe:
Service successfully uninstalled
Installation Sidecar für Windows
Um mit Sidecar unter Windows arbeiten zu können, müssen Sie sicherstellen, dass diese Voraussetzungen erfüllt sind:
Bei der Auswahl der zu installierenden Version von Sidecar müssen Sie die Version auswählen, die auf der derzeit verwendeten Graylog-Version basiert (siehe Tabelle oben).
Laden Sie den Windows-Installer von hier herunter.
Das Windows-Installationsprogramm kann interaktiv durch Ausführen gestartet werden:
graylog_sidecar_installer_1.4.0-1.exe
Starten Sie die Installation und bestätigen Sie die Lizenzvereinbarungen:
Führen Sie die folgenden Schritte aus:
- Geben Sie die URL in Ihre Graylog API ein, sie sollte als (https://127.0.0.1:9000/api) vorkonfiguriert sein.
- Benennen Sie Ihre Sidecar-Instanz.
- Geben Sie Ihr Server-API-Token ein, das Sie zuvor erstellt haben.
- Klicken Sie auf Installieren, um das Installationsprogramm zu schließen.
Nach Abschluss der Installation können Sie die Datei sidecar.yml ändern oder konfigurieren, die sich unter C:\Programme\Graylog\sidecar\sidecar.yml befinden sollte.
Geben Sie die IP-Adresse Ihres Graylog-Servers und den oben erstellten API-Token ein:
Warten Sie bis die Installation beendet ist:
Oder Sie können ihn im stillen Modus ausführen:
graylog_sidecar_installer_1.4.0-1.exe /S -SERVERURL=http://your Graylog IP-Adresse oder DNS-Name/api -APITOKEN=deinapitoken
Hinweis:
Der Windows Installer unterstützt zusätzliche Optionen im stillen Modus. Beispiele für diese Parameter sind: -TAGS=["Beispiel", "IIS"] -NODENAME=mynodename -NODEID=1234 -SENDSTATUS=false -TLSSKIPVERIFY=true -UPDATEINTERVAL=10s
Der Graylog Sidecar-Dienst wurde erfolgreich in Ihrem Windows-Betriebssystem installiert.
Ihre Graylog-Instanz ist eingerichtet und läuft neben Ihrem Windows-Betriebssystem.
Konfigurieren des Winlogbeat-Kollektors
- Navigieren Sie zurück zu Ihrer Graylog-Instanz.
- Gehen Sie in Ihrer Graylog-Instanz zu System > Sidecars und wählen Sie die Registerkarte Konfiguration in der linken Ecke, dann klicken Sie auf die Registerkarte Konfiguration erstellen.
- Wählen Sie winlogbeat on Windows aus dem Dropdown-Menü Collector.
- Geben Sie dieses Konfigurationsskript in das Feld Konfiguration ein:
Dies ist eine Konfiguration, die Graylog für Sie erstellt.
# Needed for Graylog
fields_under_root: true
fields.collector_node_id: ${sidecar.nodeName}
fields.gl2_source_collector: ${sidecar.nodeId}
output.logstash:
hosts: ["172.19.240.137:5044"]
path:
data: C:\Program Files\Graylog\sidecar\cache\winlogbeat\data
logs: C:\Program Files\Graylog\sidecar\logs
tags:
- windows
winlogbeat:
event_logs:
- name: Application
- name: System
- name: Security
Wichtig:
Fügen Sie in Zeile 7 die IP-Adresse Ihres Graylog-Servers ein.
- Fügen Sie einen Namen hinzu, und (optional) wenden Sie eine benutzerdefinierte Farbe auf die Konfiguration an.
- Klicken Sie auf “Create”.
- Überprüfen Sie, ob die neu erstellte Sidecar/winlogbeat-Konfiguration im Menü Konfigurationen aufgeführt ist.
Installieren und Starten des Dienstes
Öffnen Sie nun ein Fenster der Eingabeaufforderung mit Administratorrechten. Führen Sie dann die folgenden Schritte aus:
- Führen Sie die folgenden Befehle aus: (Wenn Sie PowerShell verwenden, stellen Sie den Befehlen ein & voran)
"C:\Program Files\graylog\sidecar\graylog-sidecar.exe" -service install
"C:\Program Files\graylog\sidecar\graylog-sidecar.exe" -service start
In der Regel wird es bei beiden Befehle mit einer Fehlermeldung geben, da der Dienst bereits installiert und gestartet wurde. In diesem Fall starten Sie den Dienst mit folgendem Befehl neu:
"C:\Program Files\graylog\sidecar\graylog-sidecar.exe" -service restart
- Navigieren Sie zurück zur Graylog-Benutzeroberfläche.
- Suchen Sie Ihr Windows-Gerät im Untermenü Sidecar (unter System).
- Wählen Sie den winlogbeat-Kollektor unter dem Windows-Sidecar-Gerät auf der linken Seite aus, und wählen Sie im Dropdown-Menü Configure auf der rechten Seite die Konfiguration windows_sidecar, die wir zuvor eingerichtet haben.
- Klicken Sie auf das Dropdown-Menü Prozess auf der rechten Seite und wählen Sie Start, nachdem Sie Ihre Konfiguration ausgewählt haben.
Ihre Graylog-Instanz sollte nun erfolgreich gestartet sein und Protokolle von Ihrem Windows-Rechner sammeln.