Graylog Server Kurulumu
Graylog Server kurulumu hakkında bilgiye ulaşmak için, https://www.asimmisirli.com/graylog-kurulumu-ve-log-girisi/ adresini kullanabilirsiniz Yapılandırma ayarları doğru şekilde yapıldıysa Linux sistemlerden aktif olarak log girişi için yapılandırmaya geçebiliriz.
Hatırlatmalar: Graylog server Ubuntu 18.04 üzerine kurulu ve ip adresi 192.168.1.8, Linux sistem olarak Pardus 19 logları rsyslog yardımı ile çekme işleme yapılacaktır.
İnputs yapılandırması
System-> inputs sayfasına girerek girişler için yapılandırma yapmamız gerekir.
Arama bölümünden Syslog UDP seçeneği seçilir ve Launch new Input girişi yapılır
Node kısmına kendi Graylog Serverinizi seçeceksiniz. Title sizin başlık yazınız. Port değerinde sistemle çakışmayan bir numara verirseniz rahat bir şekilde erişim sağlayabilirsiniz.
Sunucu tarafında Firewall(Ufw) üzerinde izin vermemiz gerekiyor. Bunun için, $ sudo ufw allow 8514/udp yazmanız yeterli olacaktır.
Bu işlemleri bitirdikten sonra yapılandırmanın çalışıyor(running) olarak gözükür.
Graylog Linux sistemlerden Log Girişi Yapılandırması
$ sudo apt install rsyslog diyerek rsyslog servisini yüklüyoruz.(Debian, Pardus ve Ubuntu Fark etmiyor)
$ sudo nano /etc/rsyslog.conf dosyası nano editörü ile açılır. Açılan yapılandırma dosyasının son satırına
*.* @192.168.1.8:8514 yada *.*@sizin_serverip_adresiniz:sizin_port numaranız şeklinde satır eklenir.
$ sudo systemctl restart rsyslog ile servis yeninden başlatılır.
$ logger testlogdeneme ile sunucuya text bir ifade göndereceğiz eğer başarılı olursa sunucuda source kısmına log düşecek.
Düşen log Search kısmına gelip son 5 dakika seçeneği seçilerek arama bölümüne basılarak bulunabilir.
Pardus üzerinden gelen Log örnekleri
Bundan sonraki yazılarda widget/dashboard ekleme, regex ifadelerin düzenlenmesi, korelasyon oluşturma ve uyarıların verilmesi hakkında yazıları hazırlayacağım. Görüşmek üzere