Graylog: Eingaben konfigurieren

Wie Sie Graylog-Eingaben konfigurieren

👋 Willkommen bei der Stackhero-Dokumentation!

Stackhero bietet eine einsatzbereite Graylog Cloud-Lösung, die zahlreiche Vorteile bietet, darunter:

  • Unbegrenzter und dedizierter SMTP-E-Mail-Server inklusive.
  • Mühelose Updates mit nur einem Klick.
  • Anpassbarer Domainname gesichert mit HTTPS (zum Beispiel, https://logs.ihre-firma.com).
  • Optimale Performance und robuste Sicherheit durch eine private und dedizierte VM.

Sparen Sie Zeit und vereinfachen Sie Ihr Leben: Es dauert nur 5 Minuten, um die Graylog Cloud Hosting-Lösung von Stackhero auszuprobieren!

Was ist eine Graylog-Eingabe?

Graylog empfängt Logs von Ihren Anwendungen, Servern, Routern oder Switches über eine oder mehrere Eingaben (Inputs). Diese Eingaben unterstützen die Protokolle TCP oder UDP und können verschiedene Datenformate wie GELF, CEF, Syslog oder RAW verarbeiten. Die TLS-Verschlüsselung (SSL/HTTPS) kann für TCP-Eingaben direkt im Stackhero-Dashboard aktiviert werden.

Beachten Sie, dass Sie sich auch mit einem Kafka- oder RabbitMQ (AMQP)-Server verbinden können. In diesem Fall verbindet sich Graylog direkt mit Ihrem Kafka- oder RabbitMQ-Server und Sie müssen dieser Anleitung nicht folgen.

Wenn Sie nicht wissen, welchen Eingabetyp Sie verwenden sollten, lesen Sie zuerst unseren Leitfaden "Eingabetypen auswählen".

Wie Sie eine Eingabe in Graylog erstellen

Um Ihre Graylog-Eingabe einzurichten, müssen Sie diese zunächst in der Graylog-Weboberfläche anlegen. Anschließend deklarieren Sie die Eingabe im Stackhero-Dashboard und öffnen die notwendigen Firewall-Ports, damit der Datenverkehr Ihre Instanz erreichen kann.

1. Eingabe in der Graylog-Weboberfläche deklarieren

  1. Melden Sie sich an der Graylog-Weboberfläche an und navigieren Sie zu System und dann zu Inputs.

  2. Wählen Sie im Dropdown-Menü Select input eine Eingabe entsprechend dem Datentyp, den Sie empfangen möchten, und klicken Sie auf Launch new input.

    Auswahl einer Eingabe in der Graylog-WeboberflächeAuswahl einer Eingabe in der Graylog-Weboberfläche

  3. Im sich öffnenden Dialog aktivieren Sie Global und vergeben einen Titel (zum Beispiel "GELF UDP", falls Sie keinen spezifischeren Titel haben). Ändern Sie keine weiteren Einstellungen, sofern Sie sich nicht sicher sind, was Sie tun.

Wenn Sie TLS-Verschlüsselung (SSL/HTTPS) verwenden möchten, wählen Sie NICHT TLS in der Graylog-Weboberfläche aus. Die TLS-Verschlüsselung wird direkt über Ihren Reverse Proxy im Stackhero-Dashboard verwaltet.

Beispiel einer GELF UDP-Eingabe in GraylogBeispiel einer GELF UDP-Eingabe in Graylog

  1. Notieren Sie sich den Port Ihrer Eingabe, da Sie diesen später im Stackhero-Dashboard angeben müssen. Klicken Sie anschließend auf Save.

2. Eingabe im Stackhero-Dashboard deklarieren

Nachdem Sie die Eingabe in der Graylog-Weboberfläche erstellt haben, müssen Sie diese im Stackhero-Dashboard deklarieren.

  1. Gehen Sie zu Ihrem Stackhero-Dashboard und wählen Sie Ihre Graylog-Instanz aus.
  2. Klicken Sie auf den Button Konfigurieren.
  3. Überprüfen Sie in der Liste Input ports, ob der Port Ihrer neuen Eingabe bereits eingetragen ist. Falls nicht, fügen Sie ihn hinzu.
  4. Überprüfen Sie den Protokolltyp (UDP oder TCP). Wenn Sie TCP verwenden, können Sie die TLS-Verschlüsselung (SSL/HTTPS) aktivieren, indem Sie die entsprechende Option auswählen (denken Sie daran, dass Sie kein TLS in der Graylog-Weboberfläche aktivieren sollten!).
  5. Nachdem Sie diese Schritte abgeschlossen haben, bestätigen Sie Ihre neue Konfiguration.

Beispiel einer GELF UDP-Eingabekonfiguration im Stackhero-DashboardBeispiel einer GELF UDP-Eingabekonfiguration im Stackhero-Dashboard

3. Datenverkehr in der Firewall erlauben

Nachdem Sie Ihre Eingabe im Stackhero-Dashboard deklariert haben, müssen Sie den Datenverkehr durch Ihre Firewall zulassen.

  1. Öffnen Sie das Stackhero-Dashboard, wählen Sie Ihren Graylog-Service aus und klicken Sie auf Firewall.
  2. Stellen Sie sicher, dass eine Regel existiert, die den Datenverkehr von Ihrer IP-Adresse akzeptiert (oder verwenden Sie 0.0.0.0/0, um alle IPs zuzulassen).
  3. Falls eine solche Regel nicht existiert, erstellen Sie eine neue, indem Sie auf den Button Regel hinzufügen klicken.
  4. Wählen Sie die IP-Adresse, die Sie zulassen möchten (setzen Sie sie auf 0.0.0.0/0 für alle IPs), und geben Sie die Ports an, die Daten von dieser IP empfangen sollen.
  5. Wählen Sie die Aktion Akzeptieren.

Speichern Sie die Regel und bestätigen Sie die Konfiguration, indem Sie auf den Button Validieren klicken.

Beispiel einer Firewall-KonfigurationBeispiel einer Firewall-Konfiguration

Ihre Eingabe ist jetzt vollständig konfiguriert und einsatzbereit!

Fehlerbehebung: Eine Graylog-Eingabe funktioniert nicht

Wenn eine Graylog-Eingabe nicht wie erwartet funktioniert, überprüfen Sie die folgende Checkliste:

  1. In der Graylog-Weboberfläche:

    1. Gehen Sie zu System und dann zu Inputs und stellen Sie sicher, dass die Eingabe läuft.
    2. Überprüfen Sie, ob das Protokoll (UDP oder TCP) korrekt ist.
    3. Wenn Sie TCP verwenden, stellen Sie sicher, dass tls_enable auf false gesetzt ist, da die Verschlüsselung im Stackhero-Dashboard verwaltet wird.
    4. Vergewissern Sie sich, dass der Port korrekt ist.
    5. Überprüfen Sie, ob das Datenformat korrekt ist (GELF, CEF, RAW oder Syslog).

  2. Im Stackhero-Dashboard:

    1. Wählen Sie Ihre Graylog-Instanz aus und klicken Sie auf den Button Konfigurieren.
    2. Überprüfen Sie in der Liste Input ports, ob der Port mit dem richtigen Protokoll (UDP oder TCP) definiert ist.
    3. Wenn Sie TCP verwenden, stellen Sie sicher, dass die TLS-Option für die Verschlüsselung (SSL/HTTPS) aktiviert ist.

  3. In der Firewall:

    1. Wählen Sie im Stackhero-Dashboard Ihre Graylog-Instanz aus und klicken Sie auf den Tab Firewall.
    2. Stellen Sie sicher, dass eine Regel den Datenverkehr für den Eingabeport und das Protokoll akzeptiert. Wenn Sie alle IPs zulassen möchten, setzen Sie das IP-Feld auf 0.0.0.0/0.

Wenn Sie diese Checkliste befolgen, sollte es keinen Grund geben, warum die Eingabe nicht funktioniert.

Weitere Artikel zu Graylog

  1. Einführung
    Einführung in Graylog, alles, was Sie darüber wissen müssen
  2. Erste Schritte
    Wie Sie mit Graylog starten
  3. Eingabetypen auswählen
    Wie Sie den richtigen Graylog-Eingabetyp auswählen
  4. Aufbewahrung verwalten
    Wie Sie die Protokollaufbewahrung konfigurieren
  5. Alarmierung
    Wie Sie Graylog-Alarme per E-Mail, Slack oder Mattermost versenden
  6. Enterprise-Lizenz
    Wie Sie die Graylog Enterprise-Lizenz verwalten
  7. Daten-Mapping-Probleme
    Wie Sie Probleme mit dem Daten-Mapping von Graylog-Indizes lösen
  8. Verwendung mit Node.js
    Wie Sie Logs von Node.js an Graylog senden
  9. Verwendung mit Dot NET
    Wie Sie Logs von .NET/Serilog an Graylog senden
  10. Verwendung mit Python
    Wie Sie Logs von Python an Graylog senden