Graylog: Rsyslog-Logs mit TLS-Verschlüsselung an Graylog senden

Diese Dokumentation ist Teil des Erste Schritte-Leitfadens. Den vollständigen Leitfaden finden Sie hier: Wie Sie mit Graylog starten.

👋 Willkommen bei der Stackhero-Dokumentation!

Stackhero bietet eine einsatzbereite Graylog Cloud-Lösung, die zahlreiche Vorteile bietet, darunter:

  • Unbegrenzter und dedizierter SMTP-E-Mail-Server inklusive.
  • Mühelose Updates mit nur einem Klick.
  • Anpassbarer Domainname gesichert mit HTTPS (zum Beispiel, https://logs.ihre-firma.com).
  • Optimale Performance und robuste Sicherheit durch eine private und dedizierte VM.

Sparen Sie Zeit und vereinfachen Sie Ihr Leben: Es dauert nur 5 Minuten, um die Graylog Cloud Hosting-Lösung von Stackhero auszuprobieren!

Wenn Sie einen rsyslog-Client nutzen und Logs sicher an Graylog senden möchten, gehen Sie wie folgt vor:

Aktivieren Sie keine TLS-Option am Graylog-Input. TLS wird direkt von einem Reverse Proxy auf Ihrer Instanz verwaltet, sodass Graylog dies nicht übernimmt.

  1. Gehen Sie in die Konfiguration Ihres Graylog-Dienstes im Stackhero-Dashboard und aktivieren Sie "TLS-Verschlüsselung" für den Syslog TCP-Port 514.

  2. Aktualisieren Sie Ihre rsyslog-Konfiguration wie unten beschrieben. Ersetzen Sie <XXXXXX>.stackhero-network.com durch den Hostnamen Ihrer Instanz:

    # TLS CA-Zertifikat definieren
    global(
      DefaultNetstreamDriver="gtls"
      DefaultNetstreamDriverCAFile="/etc/ssl/certs/ca-certificates.crt"
    )
    
    # Alle Logs an einen Remote-Server senden
    # Für diese Aktion wird eine On-Disk-Queue erstellt. Ist der Remote-Host
    # nicht erreichbar, werden Nachrichten auf die Festplatte geschrieben und gesendet, sobald er wieder verfügbar ist
    # Siehe https://www.rsyslog.com/doc/v8-stable/configuration/actions.html
    # und https://www.rsyslog.com/doc/v8-stable/configuration/modules/omfwd.html
    *.* action(
      type="omfwd"
      target="<XXXXXX>.stackhero-network.com"
      port="514"
      protocol="tcp"
      KeepAlive="on"
      KeepAlive.Interval="30"
      StreamDriver="gtls"
      StreamDriverMode="1"
      StreamDriverAuthMode="x509/name"
      ResendLastMSGOnReconnect="on"
      queue.filename="fwdRule1"  # eindeutiges Präfix für Spool-Dateien
      queue.type="LinkedList"
      queue.maxDiskSpace="256m"
      queue.saveOnShutdown="on"
      action.resumeRetryCount="-1"
      action.resumeInterval="30"
    )
    
  3. Starten Sie Ihren rsyslog-Dienst neu und prüfen Sie die Konfiguration, indem Sie einen Log mit folgendem Befehl senden:

    logger This is a test
    

Damit ist die Einrichtung abgeschlossen. Sie senden nun Ihre Logs sicher per TLS-Verschlüsselung an Graylog!