Graylog6.0.4下安装graylog2-output-syslog插件实现日志外发到第三方日志服务器

Graylog6.0.4下安装graylog2-output-syslog插件实现日志外发到第三方日志服务器

说明：GrayLog6.0.4 RHEL9.X下的一键安装脚本

GrayLog6.0.4一键脚本与相关组件压缩包下载链接如下

链接：https://share.weiyun.com/iqm6eLyp 密码：5s7bb5

• 请放在同一个目录下执行脚本，服务器的内存需要不小于8GB
• 需要在RHEL9.X下的系统下进行安装

具体安装步骤可以参考之前的文章

在AlmaLinux 9.3下使用一键脚本安装最新GrayLog6.0.1版本

进入正题：之前介绍文章利用GrayLog的output功能实现简单的GrayLog分布式级联

下面Graylog接入Linux服务器SSH登录失败日志通过此插件，以Syslog方式外发到第三方日志服务器

1、下载graylog2-output-syslog插件并安装

下载地址https://github.com/wizecore/graylog2-output-syslog

下载 graylog-output-syslog-6.0.4.jar 并上传到Graylog服务器/usr/share/graylog-server/plugin/目录

然后重启graylog-server服务systemctl restart graylog-server

2、Linux服务器配置rsyslog

3、GrayLog服务器中配置Linux服务器SSH登录失败的Stream

配置Stream Rules 需要同时满足两个条件

• gl_source_input需要match input指定的Input
• messages中需要包含Failed password关键字

4、System/Outputs新建一个Syslog Outputs

名称，协议类型、端口，格式

5、Streams配置Manage Outputs

选择已存在的Output然后Assign

6、测试效果

例如触发了登录失败的日志，可以在Stream LoginFailedLogin看SSH登录失败的日志

在第三方日志服务器可以收到从Graylog发过来的日志 我这里用nc -l -u -p2514模拟第三方日志服务器

以上就是使用 graylog2-output-syslog插件的简单示例效果