公司使用开源的open***,我们需要收集服务器上的日志作为审计。open×××的日志保存在/etc/open***/下,主要有open***.log和open***-status.log两个日志文件。
可以查看到一些系统信息链接信息,用户信息
我们只需要审计,所以只用收集open***-status.log即可
收集方法是在open***服务器上安装sidcar代理程序和filebeate日志收集程序,收集日志发送给graylog。原理如下
安装sidecar
graylog3.0 使用sidecar代理程序来收集linux和windows主机日日志。下载地址为 https://github.com/Graylog2/collector-sidecar/releases
centos 7上使用rpm的格式。
或者直接安装
rpm -ivh https://github.com/Graylog2/collector-sidecar/releases/download/1.0.1/graylog-sidecar-1.0.1-1.x86_64.rpm
然后编辑配置文件/etc/graylog/sidecar/sidecar.yml
vim /etc/graylog/sidecar/sidecar.yml
这里首先说明,需要修改的配置文件,只需要修改server_url和server_api_token,官方说明如下
首先我们要创建一个api token
按照如下方式创建
然后我们把生成的api token写入到sidecar.yml配置文件中,在第6行
然后修改第二行server_url
然后修改第22行node_name,主要作为识别使用,不修改的化默认使用主机名
完成配置文件修改后,安装sidecar作为服务器并启动
graylog-sidecar -service install
systemctl start graylog-sidecar
systemctl enable graylog-sidecar
然后查看服务是否正常运行
一切正常的话,则可以看到配置的sidecar已经上线
安装filebeat
在linux上,graylog-sidcar需要第三方程序作为收集器,有filebeat和nxlog,我们使用filebeat
地址为https://www.elastic.co/cn/downloads/beats
我采用rpm包方式安装
rpm -ivh https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.1.1-x86_64.rpm
安装完毕后,修改配置文件
vim /etc/filebeat/filebeat.yml
24行 修改为true
28行,修改为open***的日志路径
150行,修改为graylog地址
完成后,启动服务
配置graylog
在graylog中,点击configuration
然后点击 create configuration
注意这几个位置的修改,然后创建
创建完毕后,需要关联
此时sidecar可以收集到open***的日志
然后我们新建input进行日志分析
然后按照如下配置
然后我们就可以进行分析了,比如搜索用户lizhenghua
这样就基本上可以满足审计需求
