网络设备使用syslog协议的udp514端口进行发送日志,但是在 graylog中和大部分linux操作系统中,1024以下的端口都是属于特权端口,不允许直接使用,所以要配置iptables规则下iptables规则重定向流量
iptables -t nat -A PREROUTING -p tcp --dport 514 -j REDIRECT --to 1514 iptables -t nat -A PREROUTING -p udp --dport 514 -j REDIRECT --to 1514 service iptables save
这样配置后,需要将1514端口定向到greylog的514端口上,方可以正常收集syslog协议
首先在“system"中勾选input
因为网络设备的使用syslog协议传输日志,使用udp514,在Inputs中选择“Syslog UDP"
完成后��点击launch new input进行下一步编辑
说明:
1、勾选global,代表全局,单服务器部署
2、bind address保持0.0.0.0默认,代表收集任何ip地址的日志
3、port 为1514,一般网络设备的 syslog默认配置为514,完成iptables重定向到1514定向到514,linux特权端口问题
完成配置后,启动input
在完成网络设备日志服务器配置后,例如防火墙
可以在graylog中看到收到的日志信息,点击”show received message "
可以看到收集到的日志信息
2.2添加steam
日志收集到后,需要配置steam进行分析和筛选,在steam中创建steam
创建完成后,进行配置,点击manage rules进行配置
按照如下进行配置
说明:
1、type 选择contain代表包含字段信息
2、vlaue代表字段,这里选择error
3、这个stream rule 的意思时收集日志时,筛选过滤出来包含error字段的信息
然后点击保存,保存steam这条rule,当然,一个steam有多个rule,rule规则可以使用强大的正则表方式,这些rule的表达式都是用java写的
注意:时区问题
在graylog配置文件中,需要修改时区,不然graylog时间戳问题会有问题
vim /etc/graylog/server/server.conf #在74行下添加 root_timezone = Asia/Shanghai
