Собираем логи из Windows в GrayLog2

Main

Оценка: 84.53% - 13 Голосов

Общая

Проанализировать логи на всех серверах под управлением Windows крайне тяжело, если они не собираются и не анализируются. Справиться нам с этим поможет Graylog2

Настройка Graylog

Настройка сбора логов с сервера происходит очень просто.

Сначала мы настраиваем входящие для узлов - выбрав вкладку System / Inputs и выбрав пункт Inputs.

В открывшемся окне мы должны выбрать из раскрывающегося списка GELF TCP и нажать на кнопку Launch new input.

В открывшемся окне заполняем графы Node и Title и сохраняем.

View the embedded image gallery online at:
http://klingid.ru/win_graylog#sigProId051acfd5e8

Чтобы убедиться, что система слушает указанный порт, в данном случае это 12201, из консоли ОС выполним команду netstat -an | grep 12201 и получить ответ tcp6  0  0 :::12201 :::*  LISTEN

 

Подготовка Windows Server

К сожалению собирать данные журналов событий без агентов не получится поэтому нам понадобится агент NXLog

Загрузить его можно тут

Данный агент необходимо установить на windows сервер, после чего открыть файл конфигурации nxlog.conf, расположенный C:\Program Files (x86)\nxlog\conf\

В данный файл необходимо добавить:


<Extension gelf>
    Module      xm_gelf
</Extension>

А так же отредактировать пункт <Output out> до приведённого примера:


<Output out>
    Module      om_tcp
    Host        IP-Адрес GrayLog сервера
    Port        12201
    OutputType    GELF_TCP
</Output>

 После чего сохраним файл и запустим службу в менеджере служб.

4

 После этого в GrayLog начнут появляться данные из журналов событий, которые вы можете увидеть, выбрав вкладку Search в веб-интерфейсе GrayLog сервера.

5

 

 

Добавить комментарий


Logo