Собираем логи из Windows в GrayLog2

Main

Оценка: 84.42% - 14 Голосов

Общая

Проанализировать логи на всех серверах под управлением Windows крайне тяжело, если они не собираются и не анализируются. Справиться нам с этим поможет Graylog2

Настройка Graylog

Настройка сбора логов с сервера происходит очень просто.

Сначала мы настраиваем входящие для узлов - выбрав вкладку System / Inputs и выбрав пункт Inputs.

В открывшемся окне мы должны выбрать из раскрывающегося списка GELF TCP и нажать на кнопку Launch new input.

В открывшемся окне заполняем графы Node и Title и сохраняем.

View the embedded image gallery online at:
https://itcrowd.top/win-graylog#sigProId051acfd5e8

Чтобы убедиться, что система слушает указанный порт, в данном случае это 12201, из консоли ОС выполним команду netstat -an | grep 12201 и получить ответ tcp6  0  0 :::12201 :::*  LISTEN

 

Подготовка Windows Server

К сожалению собирать данные журналов событий без агентов не получится поэтому нам понадобится агент NXLog

Загрузить его можно тут

Данный агент необходимо установить на windows сервер, после чего открыть файл конфигурации nxlog.conf, расположенный C:\Program Files (x86)\nxlog\conf\

В данный файл необходимо добавить:


<Extension gelf>
    Module      xm_gelf
</Extension>

А так же отредактировать пункт <Output out> до приведённого примера:


<Output out>
    Module      om_tcp
    Host        IP-Адрес GrayLog сервера
    Port        12201
    OutputType    GELF_TCP
</Output>

 После чего сохраним файл и запустим службу в менеджере служб.

4

 После этого в GrayLog начнут появляться данные из журналов событий, которые вы можете увидеть, выбрав вкладку Search в веб-интерфейсе GrayLog сервера.

5

 

 

  • Просмотров: 23917
Комментарии   
0 #1 Сергей 18.09.2019 05:54
поделитесь агентом для Windows, на сайте агент исчез.
Цитировать
+1 #2 admin 19.09.2019 10:08
Цитирую Сергей:
поделитесь агентом для Windows, на сайте агент исчез.

вы видимо плохо смотрели)) https://nxlog.co/system/files/products/files/348/nxlog-ce-2.10.2150.msi
Цитировать
0 #3 alexey 24.12.2019 14:05
Секции в файлике nxlog.conf просто нет.
Служба nxlog не запускается, ее как-то дополнительно регистрировать может надо?
Цитировать
+4 #4 admin 24.12.2019 20:04
Цитирую alexey:
Секции в файлике nxlog.conf просто нет.
Служба nxlog не запускается, ее как-то дополнительно регистрировать может надо?

Какой именно секции? Служба nxlog не запускается или ее нет в списке служб? Какой Windows?
Цитировать
+1 #5 alexey 25.12.2019 07:58
Цитирую admin:
Цитирую alexey:
Секции в файлике nxlog.conf просто нет.
Служба nxlog не запускается, ее как-то дополнительно регистрировать может надо?

Какой именно секции? Служба nxlog не запускается или ее нет в списке служб? Какой Windows?

@отредактировать пункт @
вот этого пункта (секции) в файле nxlog.conf сейчас нет.
Служба nxlog есть в списке служб, но не запускается (ребут системы не помог)
"Описание:
Сбой при запуске службы "nxlog" из-за ошибки
Служба не ответила на запрос своевременно"
Win 10 Prof x64
Цитировать
0 #6 admin 25.12.2019 09:23
Цитирую alexey:

@отредактировать пункт @
вот этого пункта (секции) в файле nxlog.conf сейчас нет.
Служба nxlog есть в списке служб, но не запускается (ребут системы не помог)
"Описание:
Сбой при запуске службы "nxlog" из-за ошибки
Служба не ответила на запрос своевременно"
Win 10 Prof x64

Output out действительно нет - видимо что то изменилось в дистрибутивах и значит этот пункт необходимо добавить.
По поводу запуска службы: сейчас проверил на Windows Server 2012 R2 - служба запускается даже без внесения описанной конфигурации. Пример используемого конфигурационного файла тут lib.itcrowd.top/f/5dfa4c9d68ef47bbb5ca/ - в нем только указать IP-адрес Log-сервера. Если не помогает то читайте журналы ошибок - проблема в чем-то другом.
Цитировать
Добавить комментарий