Graylog安装配置手册v1.0.pdf

Graylog 配置手册 Written By Suntengfei 2016/1/21 目录 1 环境架构 3 2 准备 3 3 安装Graylog 虚拟机 3 4 Graylog 初始化 13 4.1 Plugin 15 4.1.1 Plugin 安装 15 5 配置Input 收集Syslog 15 5.1 配置Graylog Inputs 15 5.2 配置交换机syslog 18 5.3 配置esxi syslog 18 5.4 通过Stream 将日志转发给Splunk 20 5.4.1 定义output 策略 20 5.4.2 定义过滤规则 21 5.4.3 Splunk 配置接收 24 1 环境架构 Esxi 与Switch 通过Syslog UDP514 端口将数据吐给Graylog，Graylog 将收集到的数据经过Stream 过滤，通过TCP12999 端口转发给splunk Esxi Syslog Graylog Splunk Switch Syslog 2 准备 在官方下载OVA 版本Graylog，下载后如图 3 安装Graylog 虚拟机 1. 导入模版 2. 浏览，找到你放置graylog.ova 的位置 输入名字 选择群集 选择主机 选择资源池，如果你没有开DRS，则没有该步骤 选择存储 选择网络 完成 4 Graylog 初始化 网卡默认情况下是通过DHCP 获取IP 的，如果你没有开启DHCP，就需要手动配置 默认的用户名与密码：ubuntu 切换到root 配置网络 sudo -i 配置网卡 Vim /etc/network/interfaces 设置为静态获取，添加IP，子网掩码，网关 开启graylog 的服务，默认服务都是没有运行的 sudo graylog-ctl set-timezone Asia/Shanghai 设置时区 sudo graylog-ctl set-admin-password password /修改admin 密码 sudo graylog-ctl reconfigure 配置完以上内容后要重启服务器 reboot 打开浏览器，http://IP 访问Graylog，默认用户名和密码是admin 4.1 Plugin 4.1.1 Plugin 安装 在官方网站有许多Plugin，可以帮助你快速部署Inputs，这里以SNMP 为例 下载.jar 文件，并放在/opt/graylog/plugin 文件目录下 （注：如果上传不上去，可能是目录没有权 限，要赋予目录权限） 上传后，使用ls 查看 安装SNMP sudo apt-get install snmp snmpd snmp-mibs-downloader 重启graylog 5 配置Input 收集Syslog 接下来我们要用Graylog 收集交换机、ESXi 等的syslog 5.1 配置Graylog Inputs Lauch New Input 5.2 配置交换机syslog 进入cisco config 模式: logging host syslog server IP Address logging trap 6 login on-failure log login on-success log archive log config logging enable logging size 200 notify syslog contenttype plaintext int range interface logging event link-status logging event trunk-status 5.3 配置esxi syslog