4 069
contributi
Monitorare i log di sistema con Graylog2: differenze tra le versioni
Vai alla navigazione
Vai alla ricerca
Monitorare i log di sistema con Graylog2 (visualizza wikitesto)
Versione delle 20:58, 13 ott 2017
, 13 ott 2017→Sitografia
| Riga 193: | Riga 193: | ||
# systemctl start graylog-server | # systemctl start graylog-server | ||
# systemctl enable graylog-server | # systemctl enable graylog-server | ||
</pre> | |||
==Configurare il firewall== | |||
Ricordiamoci di configurare il nostro firewall per lasciar passare il traffico sulla porta '''9000''' e '''8514'''. | |||
==Utilizzo== | |||
L'interfaccia web di Graylog è in ascolto sulla porta 9000. Aprendo il browser web e digitando l'URL http://192.168.0.187:9000, dovremmo vedere la schermata di logim. | |||
<br/> | |||
Entriamo con l'utente admin e la password di root che abbiamo configurato in <code>root_password_sha2</code> nel file di configurazione di Graylog. | |||
<br/> | |||
Per prima cosa occorre impostare la ricezione dei log via UDP, dal menu '''System -> Inputs -> Syslog UDP -> Launch new input''', compilando la schermata che si apre. | |||
<br/> | |||
In ogni client che vogliamo monitorare, occorre impostare correttamente Rsyslog: | |||
<pre> | |||
nano /etc/rsyslog.conf | |||
</pre> | |||
configurando queste opzioni: | |||
<pre> | |||
# provides UDP syslog reception | |||
$ModLoad imudp | |||
$UDPServerRun 8514 | |||
$template GRAYLOGRFC5424,"%protocol-version% %timestamp:::date-rfc3339% %HOSTNAME% %app-name% %procid% %msg%\n" | |||
*.* @192.168.0.187:8514;GRAYLOGRFC5424 | |||
</pre> | |||
Infine occorre salvare e riavviare il demone: | |||
<pre> | |||
systemctl restart rsyslog | |||
</pre> | </pre> | ||