Graylog 安裝及設定

Graylog 是收集 log 的工具，可以將 Windows, Linux log 傳到同一台(組) Graylog。

安裝：
Installing Graylog

可以直接下載 VM ova image，匯入後改為固定 IP address 即可。

edit /etc/netplan/01-netcfg.yaml
network:
  version: 2
  renderer: networkd
  ethernets:
    enp0s3:
      dhcp4: yes
    ens160:
            addresses: [192.168.10.2/24]
            gateway4: 192.168.10.254
            nameservers:
                    search: [my.domain]
                    addresses: [192.168.10.1]

重開機或 執行 sudo netplan apply 讓 IP 生效。

修改時區
edit /etc/graylog/server/server.conf
root_timezone = Asia/Taipei

修改網頁密碼
執行 echo -n "Enter Password: " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1
把結果貼到 /etc/graylog/server/server.conf 的 root_password_sha2

重開機或 執行 sudo systemctl start graylog-server.service 後生效

設定 Windows 傳送 Event log to Graylog
安裝 NXlog
設定 NXlog

edit C:\Program Files (x86)\nxlog\conf\nxlog.conf
在 nxlog.conf 後面加上這些設定

<Input in>
    # Vista (含)以後的作業系統請使用 im_msvistalog
    Module im_msvistalog

    # 2003 (含)以前的作業系統請使用 im_mseventlog
    # Module im_mseventlog
</Input>

<Output out>
    Module om_udp
    Host 192.168.10.2
    Port 12201
    OutputType GELF
</Output>

<Route 1>
    Path in => out
</Route>

restart nxlog service 後生效

其他的 Windows log (Ex: AD, Exchange, IIS) 的 nxlog 設定請參考
NXLog User Guide | Microsoft Windows

設定 Linux 傳送 syslog to Graylog
在 /etc/rsyslog.conf 後面加上這些設定

# for audit log
$ModLoad imfile
$InputFileName /var/log/audit/audit.log
$InputFileTag tag_audit_log:
$InputFileStateFile audit_log
$InputFileSeverity info
$InputFileFacility local6
$InputRunFileMonitor

*.* @192.168.10.2:1514;RSYSLOG_SyslogProtocol23Format

PS1. 啟用 linux audit log 的方法
PS2. 要修改 selinux 設定，否則 audit log 傳不出去。(我是把 selinux disable)
PS3. Graylog VM 裝在 Ubuntu，沒辦法用到 1024 以下的 port，所以改為 1514 port
PS4. 只能用 UDP 傳 log。測試用 TCP 無效 (*.* @@192.168.10.2:1514)

登入網頁
http://192.168.10.2
帳號：admin
密碼：之前產生的

設定 input
System / Inputs

GELF UDP (for Windows nxlog)
Syslog UDP (for Linux syslog)

剩下 Alerts, Dashboards 還沒測試~~~