Graylog: Enviar logs de rsyslog a Graylog usando cifrado TLS

Esta documentación forma parte de la guía Primeros pasos. Consulte la guía completa aquí: Cómo empezar con Graylog.

👋 ¡Bienvenido a la documentación de Stackhero!

Stackhero ofrece una solución Graylog cloud lista para usar que proporciona una serie de beneficios, incluyendo:

  • Servidor de correo electrónico SMTP ilimitado y dedicado incluido.
  • Actualizaciones sin esfuerzo con solo un clic.
  • Nombre de dominio personalizable asegurado con HTTPS (por ejemplo, https://logs.tu-empresa.com).
  • Rendimiento óptimo y seguridad robusta gracias a una VM privada y dedicada.

Ahorra tiempo y simplifica tu vida: ¡solo toma 5 minutos probar la solución de Graylog cloud hosting de Stackhero!

Si dispone de un cliente rsyslog y desea enviar logs de forma segura a Graylog, siga estos pasos:

No active ninguna opción TLS en la entrada de Graylog. El TLS será gestionado directamente por un proxy inverso en su instancia, por lo que Graylog no lo gestionará.

  1. Acceda a la configuración de su servicio Graylog en el panel de Stackhero y active el "cifrado TLS" para el puerto Syslog TCP 514.

  2. Actualice la configuración de su rsyslog como se indica a continuación. Sustituya <XXXXXX>.stackhero-network.com por el nombre de host de su instancia:

    # Definir el certificado CA TLS
    global(
      DefaultNetstreamDriver="gtls"
      DefaultNetstreamDriverCAFile="/etc/ssl/certs/ca-certificates.crt"
    )
    
    # Enviar todos los logs a un servidor remoto
    # Se crea una cola en disco para esta acción. Si el host remoto
    # está inactivo, los mensajes se almacenan en disco y se envían cuando vuelva a estar disponible
    # Consulte https://www.rsyslog.com/doc/v8-stable/configuration/actions.html
    # y https://www.rsyslog.com/doc/v8-stable/configuration/modules/omfwd.html
    *.* action(
      type="omfwd"
      target="<XXXXXX>.stackhero-network.com"
      port="514"
      protocol="tcp"
      KeepAlive="on"
      KeepAlive.Interval="30"
      StreamDriver="gtls"
      StreamDriverMode="1"
      StreamDriverAuthMode="x509/name"
      ResendLastMSGOnReconnect="on"
      queue.filename="fwdRule1"  # prefijo único para los archivos de spool
      queue.type="LinkedList"
      queue.maxDiskSpace="256m"
      queue.saveOnShutdown="on"
      action.resumeRetryCount="-1"
      action.resumeInterval="30"
    )
    
  3. Reinicie su servicio rsyslog y verifique la configuración enviando un log con el siguiente comando:

    logger This is a test
    

La configuración está completa. ¡Ahora está enviando logs de forma segura a Graylog usando cifrado TLS!