graylog-日志收集

1.linux主机日志收集

使用syslog协议将系统日志发送到graylog上进行收集，可以指定端口

touch /etc/rsyslog.d/greylog.conf
*.* @192.168.99.40:1515;RSYSLOG_SyslogProtocol23Format  #*.* 代表linux中所有模块所有级别的日志，@代表udp协议，@@代表tcp协议，192.168.99.40:1515为greylog主机的IP和收集端口
systemctl restart rsyslog
systemctl enable rsyslog
测试命令
logger -p mail.info "hello!"

2.网络设备syslog日志收集

设备端配置loghost:port
如果只能通过514端口,使用iptables进行端口重定向

iptables -t nat -A PREROUTING -p tcp --dport 514 -j REDIRECT --to 1514
iptables -t nat -A PREROUTING -p udp --dport 514 -j REDIRECT --to 1514

3.新建GELF HTTP input

测试

curl -XPOST http://localhost:12201/gelf -p0 -d '{"message":"hello这是一条消息", "host":"127.0.0.1", "facility":"test", "topic": "meme"}'