SIEM — Konfiguracja Graylog

Graylog jest programem open source, który może przetwarzać wiele formatów logów.

Z pomocą tej instrukcji można skonfigurować usługę Telegraf do przekazywania zdarzeń bezpieczeństwa z G DATA Management Server do serwera Graylog.

Ten przewodnik zakłada, że konfiguracja wejścia G DATA Management Server została już wykonana.

Konfiguracja wtyczki

  1. Utwórz nowe wejście danych w Graylog.

  2. Wprowadź dane w przeglądzie Editing Input UDP GELF.
    Jako port wybierz 12201.

Konfiguracja usługi Telegraf

1.

Otwórz plik konfiguracyjny:

C:\Program Files (x86)\G Data\G DATA AntiVirus ManagementServer\Telegraf/telegraf.config with an editor.

2.

Ustaw następującą wartość:

[[outputs.syslog]]

  ## URL to connect to
  ## ex: address = "tcp://127.0.0.1:8094"
  ## ex: address = "tcp4://127.0.0.1:8094"
  ## ex: address = "tcp6://127.0.0.1:8094"
  ## ex: address = "tcp6://[2001:db8::1]:8094"
  ## ex: address = "udp://127.0.0.1:8094"
  ## ex: address = "udp4://127.0.0.1:8094"
  ## ex: address = "udp6://127.0.0.1:8094"
  address = "udp://127.0.0.1:514"

Linię = "udp://127.0.0.1:514" należy zakomentować: ## address = "udp://127.0.0.1:514".

3.

Dodaj następujące linie. Zastąp adres IP 10.28.11.145 podanym w przykładzie adresem IP Twojego serwera Graylog.

[[outputs.graylog]]
## UDP endpoint for your graylog instances.
servers = ["10.28.11.145:12201"]

4.

Zapisz plik.

5.

Utwórz na nowo usługę Telegraf, używając dostosowanego pliku telegraf.conf.

Powiązane artykuły:

→ Konfiguracja G DATA Management Server do pracy z SIEM (Security Information and Event Management)