Graylog: Rsyslog-logs naar Graylog sturen met TLS-encryptie

Deze documentatie maakt deel uit van de Aan de slag-gids. Bekijk de volledige gids hier: Hoe u aan de slag gaat met Graylog.

👋 Welkom bij de Stackhero documentatie!

Stackhero biedt een kant-en-klare Graylog cloud oplossing die tal van voordelen biedt, waaronder:

  • Onbeperkte en toegewijde SMTP e-mailserver inbegrepen.
  • Moeiteloze updates met slechts één klik.
  • Aanpasbare domeinnaam beveiligd met HTTPS (bijvoorbeeld, https://logs.uw-bedrijf.com).
  • Optimale prestaties en robuuste beveiliging aangedreven door een privé en toegewijde VM.

Bespaar tijd en vereenvoudig uw leven: het kost slechts 5 minuten om de Graylog cloud hosting oplossing van Stackhero te proberen!

Als u een rsyslog-client heeft en logs veilig naar Graylog wilt sturen, volg dan deze stappen:

Activeer geen enkele TLS-optie op de input van Graylog. TLS wordt direct beheerd door een reverse proxy op uw instance, zodat Graylog dit niet zelf hoeft te verwerken.

  1. Ga naar de configuratie van uw Graylog-service in het Stackhero-dashboard en schakel "TLS-encryptie" in voor de Syslog TCP-poort 514.

  2. Werk uw rsyslog-configuratie bij zoals hieronder beschreven. Vervang <XXXXXX>.stackhero-network.com door de hostnaam van uw instance:

    # Definieer TLS CA-certificaat
    global(
      DefaultNetstreamDriver="gtls"
      DefaultNetstreamDriverCAFile="/etc/ssl/certs/ca-certificates.crt"
    )
    
    # Stuur alle logs naar een externe server
    # Er wordt een on-disk queue aangemaakt voor deze actie. Als de externe host
    # niet bereikbaar is, worden berichten op schijf opgeslagen en verzonden zodra deze weer beschikbaar is
    # Zie https://www.rsyslog.com/doc/v8-stable/configuration/actions.html
    # en https://www.rsyslog.com/doc/v8-stable/configuration/modules/omfwd.html
    *.* action(
      type="omfwd"
      target="<XXXXXX>.stackhero-network.com"
      port="514"
      protocol="tcp"
      KeepAlive="on"
      KeepAlive.Interval="30"
      StreamDriver="gtls"
      StreamDriverMode="1"
      StreamDriverAuthMode="x509/name"
      ResendLastMSGOnReconnect="on"
      queue.filename="fwdRule1"  # unieke naam prefix voor spoolbestanden
      queue.type="LinkedList"
      queue.maxDiskSpace="256m"
      queue.saveOnShutdown="on"
      action.resumeRetryCount="-1"
      action.resumeInterval="30"
    )
    
  3. Herstart uw rsyslog-service en controleer de configuratie door een log te versturen met het volgende commando:

    logger This is a test
    

De configuratie is nu afgerond. U stuurt nu veilig logs naar Graylog via TLS-encryptie!