公司使用开源的open,我们需要收集服务器上的日志作为审计。open×××的日志保存在/etc/open/下,主要有open.log和open-status.log两个日志文件。
使用graylog3.0收集open×××日志进行审计
可以查看到一些系统信息链接信息,用户信息
使用graylog3.0收集open×××日志进行审计

使用graylog3.0收集open×××日志进行审计

我们只需要审计,所以只用收集open***-status.log即可

收集方法是在open***服务器上安装sidcar代理程序和filebeate日志收集程序,收集日志发送给graylog。原理如下
使用graylog3.0收集open×××日志进行审计

安装sidecar

graylog3.0 使用sidecar代理程序来收集linux和windows主机日日志。下载地址为 https://github.com/Graylog2/collector-sidecar/releases
centos 7上使用rpm的格式。
使用graylog3.0收集open×××日志进行审计
或者直接安装

rpm -ivh https://github.com/Graylog2/collector-sidecar/releases/download/1.0.1/graylog-sidecar-1.0.1-1.x86_64.rpm

然后编辑配置文件/etc/graylog/sidecar/sidecar.yml

vim /etc/graylog/sidecar/sidecar.yml

这里首先说明,需要修改的配置文件,只需要修改server_url和server_api_token,官方说明如下
使用graylog3.0收集open×××日志进行审计
首先我们要创建一个api token
使用graylog3.0收集open×××日志进行审计
按照如下方式创建
使用graylog3.0收集open×××日志进行审计
然后我们把生成的api token写入到sidecar.yml配置文件中,在第6行
使用graylog3.0收集open×××日志进行审计
然后修改第二行server_url
使用graylog3.0收集open×××日志进行审计
然后修改第22行node_name,主要作为识别使用,不修改的化默认使用主机名
使用graylog3.0收集open×××日志进行审计
完成配置文件修改后,安装sidecar作为服务器并启动

graylog-sidecar -service install
systemctl start graylog-sidecar
systemctl enable graylog-sidecar

然后查看服务是否正常运行
使用graylog3.0收集open×××日志进行审计
一切正常的话,则可以看到配置的sidecar已经上线

安装filebeat

在linux上,graylog-sidcar需要第三方程序作为收集器,有filebeat和nxlog,我们使用filebeat
地址为https://www.elastic.co/cn/downloads/beats
使用graylog3.0收集open×××日志进行审计
我采用rpm包方式安装
使用graylog3.0收集open×××日志进行审计

rpm -ivh https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.1.1-x86_64.rpm

安装完毕后,修改配置文件

vim /etc/filebeat/filebeat.yml

24行 修改为true
使用graylog3.0收集open×××日志进行审计
28行,修改为open***的日志路径
使用graylog3.0收集open×××日志进行审计
150行,修改为graylog地址
使用graylog3.0收集open×××日志进行审计

完成后,启动服务

配置graylog

在graylog中,点击configuration
使用graylog3.0收集open×××日志进行审计
然后点击 create configuration
使用graylog3.0收集open×××日志进行审计

注意这几个位置的修改,然后创建
创建完毕后,需要关联
使用graylog3.0收集open×××日志进行审计

此时sidecar可以收集到open***的日志

然后我们新建input进行日志分析
使用graylog3.0收集open×××日志进行审计

然后按照如下配置
使用graylog3.0收集open×××日志进行审计

然后我们就可以进行分析了,比如搜索用户lizhenghua
使用graylog3.0收集open×××日志进行审计

这样就基本上可以满足审计需求