Cómo agregar clientes al administrador de registros del sistema Graylog

02/10/2020 InstintoSeguro Ciberseguridad 0


Graylog facilita el envío de información de syslog de los clientes al servidor de alojamiento. Jack Wallen le muestra cómo.

«data-credit =» Imagen: Getty Images / iStockphoto «rel =» noopener noreferrer nofollow «>it-física-seguridad-política.jpg

Imagen: Getty Pictures / iStockphoto

Ha instalado el administrador de registros del sistema Graylog para controlar todos esos archivos de registro de Linux. Es una excelente manera de monitorear varias capas y sistemas de seguridad en los servidores Linux en su centro de datos. De fábrica, hará un gran trabajo ayudándote a monitorear los registros en el servidor en el que está instalado.

Pero, ¿qué pasa con esos otros servidores?

Afortunadamente, Graylog hace que sea bastante sencillo agregar servidores remotos a la lista de máquinas para monitorear. Voy a mostrarte cómo hacer precisamente eso.

Lo que necesitarás

  • Un servidor Linux que aloja Graylog
  • Algunos clientes de Linux para agregar

VER: Política de protección contra robo de identidad (TechRepublic High quality)

Cómo configurar Graylog para aceptar entradas de syslog entrantes

Vamos a configurar Graylog para que acepte entradas de syslog. Inicie sesión en su servidor Graylog y haga clic en Sistema / Entradas. En la ventana resultante, seleccione Syslog UDP del menú desplegable Seleccionar entrada (Figura A).

Figura A

graylogclientsa.jpg "src =" https://tr3.cbsistatic.com/hub/i/r/2020/10/01/f8e5e016-6a06-4434-ba06-c76ee4ac5098/resize/770x/1f31993bf5041050983b4a11b923d72d/graylogclient

La ventana Graylog Inputs es donde agrega nuevos clientes.

Haga clic en Iniciar nueva entrada y total la siguiente información (Figura B):

Figura B

graylogclientsb.jpg "src =" https://tr2.cbsistatic.com/hub/i/r/2020/10/01/02701dde-f154-49a4-88cc-196e8b4de4a8/resize/770x/7a3d566cf9270a2c01287ebf3246567b/graypgclientsb

Completando la información para la nueva entrada.

Una vez que haya completado esa información, haga clic en Guardar. Ahora necesitamos configurar nuestros clientes.

Cómo configurar sus clientes Linux para enviar información de syslog

Ahora que Graylog está aceptando información de syslog, debemos configurar a nuestros clientes para que envíen la información. Para hacer eso, SSH en un servidor Linux diferente (uno que desea que envíe los detalles de syslog a Graylog) y cree un nuevo archivo de configuración rsyslog con el comando: 

sudo nano /etcetera/rsyslog.d/90-graylog.conf

En ese archivo, pegue lo siguiente: 

*.* @SERVER:5140RSYSLOG_SyslogProtocol23Format

Donde SERVER es la dirección IP de su servidor Graylog.

Guarde y cierre el archivo. Reinicie rsyslog con el comando: 

sudo systemctl restart rsyslog

Cómo ver las entradas de syslog en Graylog

Si regresa a su servidor Graylog y hace clic en Buscar, debería ver listas de todas las entradas de syslog del cliente recién agregado. Haga clic en una de las entradas en el panel inferior y podrá ver la entrada (Figura C).

Figura C

graylogclientsc.jpg "src =" https://tr2.cbsistatic.com/hub/i/r/2020/10/01/3114a415-11fc-463f-8082-226727f4a56e/resize/770x/d3ed005b9bc8e4cbd6dedb4f77ab173d/graylogclientsc.jpg

Mi controlador de Kubernetes envía mucha información al servidor Graylog.

Y eso es todo lo que hay que hacer para agregar un cliente a Graylog. Tener información de syslog enviada al servidor Graylog le dará mucha información para que pueda comenzar a revisar.

Ver también



Enlace a la noticia original