Graylog: Enviar logs rsyslog para o Graylog com encriptação TLS

Esta documentação faz parte do guia Primeiros passos. Consulte o guia completo aqui: Como começar a utilizar o Graylog.

👋 Bem-vindo à documentação da Stackhero!

A Stackhero oferece uma solução Graylog cloud pronta a usar que proporciona uma série de benefícios, incluindo:

  • Servidor de email SMTP ilimitado e dedicado incluído.
  • Atualizações sem esforço com apenas um clique.
  • Nome de domínio personalizável seguro com HTTPS (por exemplo, https://logs.sua-empresa.com).
  • Desempenho ótimo e segurança robusta alimentados por uma VM privada e dedicada.

Poupe tempo e simplifique a sua vida: são necessários apenas 5 minutos para experimentar a solução Graylog cloud hosting da Stackhero!

Se tem um cliente rsyslog e pretende enviar logs de forma segura para o Graylog, siga estes passos:

Não ative nenhuma opção de TLS no input do Graylog. O TLS será gerido diretamente por um reverse proxy na sua instância, pelo que o Graylog não irá tratar deste processo.

  1. Aceda à configuração do seu serviço Graylog no dashboard da Stackhero e ative a "encriptação TLS" para a porta Syslog TCP 514.

  2. Atualize a configuração do seu rsyslog conforme indicado abaixo. Substitua <XXXXXX>.stackhero-network.com pelo hostname da sua instância:

    # Definir o certificado CA TLS
    global(
      DefaultNetstreamDriver="gtls"
      DefaultNetstreamDriverCAFile="/etc/ssl/certs/ca-certificates.crt"
    )
    
    # Enviar todos os logs para um servidor remoto
    # É criada uma fila em disco para esta ação. Se o host remoto estiver
    # indisponível, as mensagens são armazenadas em disco e enviadas assim que voltar a estar acessível
    # Consulte https://www.rsyslog.com/doc/v8-stable/configuration/actions.html
    # e https://www.rsyslog.com/doc/v8-stable/configuration/modules/omfwd.html
    *.* action(
      type="omfwd"
      target="<XXXXXX>.stackhero-network.com"
      port="514"
      protocol="tcp"
      KeepAlive="on"
      KeepAlive.Interval="30"
      StreamDriver="gtls"
      StreamDriverMode="1"
      StreamDriverAuthMode="x509/name"
      ResendLastMSGOnReconnect="on"
      queue.filename="fwdRule1"  # prefixo único para ficheiros de spool
      queue.type="LinkedList"
      queue.maxDiskSpace="256m"
      queue.saveOnShutdown="on"
      action.resumeRetryCount="-1"
      action.resumeInterval="30"
    )
    
  3. Reinicie o serviço rsyslog e verifique a configuração enviando um log com o seguinte comando:

    logger This is a test
    

A configuração está concluída. Está agora a enviar logs de forma segura para o Graylog através de TLS!