Собираем логи из Windows в GrayLog2
Общая
Проанализировать логи на всех серверах под управлением Windows крайне тяжело, если они не собираются и не анализируются. Справиться нам с этим поможет Graylog2
Настройка Graylog
Настройка сбора логов с сервера происходит очень просто.
Сначала мы настраиваем входящие для узлов - выбрав вкладку System / Inputs
и выбрав пункт Inputs
.
В открывшемся окне мы должны выбрать из раскрывающегося списка GELF TCP
и нажать на кнопку Launch new input
.
В открывшемся окне заполняем графы Node
и Title
и сохраняем.
https://itcrowd.top/win-graylog#sigProId051acfd5e8
Чтобы убедиться, что система слушает указанный порт, в данном случае это 12201
, из консоли ОС выполним команду netstat -an | grep 12201
и получить ответ tcp6 0 0 :::12201 :::* LISTEN
Подготовка Windows Server
К сожалению собирать данные журналов событий без агентов не получится поэтому нам понадобится агент NXLog
Загрузить его можно тут
Данный агент необходимо установить на windows сервер, после чего открыть файл конфигурации nxlog.conf
, расположенный C:\Program Files (x86)\nxlog\conf\
В данный файл необходимо добавить:
<Extension gelf>
Module xm_gelf
</Extension>
А так же отредактировать пункт <Output out>
до приведённого примера:
<Output out>
Module om_tcp
Host IP-Адрес GrayLog сервера
Port 12201
OutputType GELF_TCP
</Output>
После чего сохраним файл и запустим службу в менеджере служб.
После этого в GrayLog начнут появляться данные из журналов событий, которые вы можете увидеть, выбрав вкладку Search
в веб-интерфейсе GrayLog сервера.
- Просмотров: 25684
вы видимо плохо смотрели)) https://nxlog.co/system/files/products/files/348/nxlog-ce-2.10.2150.msi
Служба nxlog не запускается, ее как-то дополнительно регистрировать может надо?
Какой именно секции? Служба nxlog не запускается или ее нет в списке служб? Какой Windows?
@отредактировать пункт @
вот этого пункта (секции) в файле nxlog.conf сейчас нет.
Служба nxlog есть в списке служб, но не запускается (ребут системы не помог)
"Описание:
Сбой при запуске службы "nxlog" из-за ошибки
Служба не ответила на запрос своевременно"
Win 10 Prof x64
Output out действительно нет - видимо что то изменилось в дистрибутивах и значит этот пункт необходимо добавить.
По поводу запуска службы: сейчас проверил на Windows Server 2012 R2 - служба запускается даже без внесения описанной конфигурации. Пример используемого конфигурационного файла тут lib.itcrowd.top/f/5dfa4c9d68ef47bbb5ca/ - в нем только указать IP-адрес Log-сервера. Если не помогает то читайте журналы ошибок - проблема в чем-то другом.
RSS лента комментариев этой записи