同社は、オープンソースのオープンを使用して、我々は、サーバー上の監査ログとして収集する必要があります。×××の/ etc /オープンに保存されたログ開く /下、主にオープン.logおよびオープン -status.log 2つのログファイルを。
あなたは、いくつかのシステム情報をリンクする情報、ユーザー情報を表示することができます
へのstatus.log - 我々だけでこれだけのオープン***を収集し、監査する必要があります
インストールの方法は、収集され、オープン***サーバーログのfilebeate sidcarエージェントログ収集プログラムはgraylogを収集します。次のような原理であります
インストールのサイドカー
graylog3.0サイドカー使用エージェントは、毎日ログLinuxとWindowsホストを収集します。ダウンロードhttps://github.com/Graylog2/collector-sidecar/releases
7つのCentOSのRPM形式を使用します。
または直接
rpm -ivh https://github.com/Graylog2/collector-sidecar/releases/download/1.0.1/graylog-sidecar-1.0.1-1.x86_64.rpm
次に、設定ファイルを編集/etc/graylog/sidecar/sidecar.yml
vim /etc/graylog/sidecar/sidecar.yml
ここではまず、あなただけSERVER_URLとserver_api_tokenを変更する必要があり、コンフィギュレーションファイルを変更する必要があり、関係者は説明
我々は、APIトークンを作成したいすべての最初に
、次のように作成され
、その後、我々は最初に、コンフィギュレーション・ファイルに書き込まれたAPIトークンsidecar.ymlを生成6行
、次に2行目のSERVER_URL変更
主に識別として用い、次いで変性NODE_NAME、ライン22は、ホスト名の変更が使用されることなく、
設定ファイルの変更後、サーバスタートとしてサイドカーマウント
graylog-sidecar -service install
systemctl start graylog-sidecar
systemctl enable graylog-sidecar
そして、サービスが実行されているかどうか
いつものように、あなたはサイドカーの構成はラインにされている見ることができます
インストールfilebeat
Linux上で、graylog-sidcarコレクタ、そこfilebeatとnxlogなどのサードパーティ製プログラムを必要とする、我々はfilebeat使用
アドレスhttps://www.elastic.co/cn/downloads/beats
私がインストールrpmパッケージを使用します
rpm -ivh https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.1.1-x86_64.rpm
インストール後、設定ファイルを変更します
vim /etc/filebeat/filebeat.yml
24行目はtrueに変更された
28行、オープン変更ログ・パス***
graylogに対処するために修正150 OK、
終了したら、サービスを開始
設定graylog
graylogで、設定をクリック
して、コンフィギュレーションの作成]をクリックします
これらの場所を変更するために注意を払って、その後、作成
作成された、あなたは関連付ける必要があります
この時点で、サイドカーは***開くためにログを収集することができます
その後、我々は、ログ分析のための入力を作成します
そして、次のような構成によると
その後、我々は、このような検索ユーザーとして、分析することができlizhenghua
これは基本的に監査要件を満たしています