公司使用開源的open,我們需要收集服務器上的日誌作爲審計。open×××的日誌保存在/etc/open/下,主要有open.log和open-status.log兩個日誌文件。
可以查看到一些系統信息鏈接信息,用戶信息
我們只需要審計,所以只用收集open***-status.log即可
收集方法是在open***服務器上安裝sidcar代理程序和filebeate日誌收集程序,收集日誌發送給graylog。原理如下
安裝sidecar
graylog3.0 使用sidecar代理程序來收集linux和windows主機日日誌。下載地址爲 https://github.com/Graylog2/collector-sidecar/releases
centos 7上使用rpm的格式。
或者直接安裝
rpm -ivh https://github.com/Graylog2/collector-sidecar/releases/download/1.0.1/graylog-sidecar-1.0.1-1.x86_64.rpm
然後編輯配置文件/etc/graylog/sidecar/sidecar.yml
vim /etc/graylog/sidecar/sidecar.yml
這裏首先說明,需要修改的配置文件,只需要修改server_url和server_api_token,官方說明如下
首先我們要創建一個api token
按照如下方式創建
然後我們把生成的api token寫入到sidecar.yml配置文件中,在第6行
然後修改第二行server_url
然後修改第22行node_name,主要作爲識別使用,不修改的化默認使用主機名
完成配置文件修改後,安裝sidecar作爲服務器並啓動
graylog-sidecar -service install
systemctl start graylog-sidecar
systemctl enable graylog-sidecar
然後查看服務是否正常運行
一切正常的話,則可以看到配置的sidecar已經上線
安裝filebeat
在linux上,graylog-sidcar需要第三方程序作爲收集器,有filebeat和nxlog,我們使用filebeat
地址爲https://www.elastic.co/cn/downloads/beats
我採用rpm包方式安裝
rpm -ivh https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.1.1-x86_64.rpm
安裝完畢後,修改配置文件
vim /etc/filebeat/filebeat.yml
24行 修改爲true
28行,修改爲open***的日誌路徑
150行,修改爲graylog地址
完成後,啓動服務
配置graylog
在graylog中,點擊configuration
然後點擊 create configuration
注意這幾個位置的修改,然後創建
創建完畢後,需要關聯
此時sidecar可以收集到open***的日誌
然後我們新建input進行日誌分析
然後按照如下配置
然後我們就可以進行分析了,比如搜索用戶lizhenghua
這樣就基本上可以滿足審計需求