Как принимать логи с Windows систем в Graylog

Posted by

Продолжаю свое изучение по работе с системой Graylog2 (Graylog 2.2.3+7adc951 on srv-trusty (Oracle Corporation 1.8.0_131 on Linux 4.4.0-79-generic)) на Ubuntu Trusty. На этот раз я разберу все опубликованное в интернете и документацию чтобы подключиться к системе Graylog windows системы. Цель собирать логи (Event Log) для спокойного анализа.

Шаг №1:

Первым делом описываем настройки приема логов с Windows систем на определенные порт и формат пересылаемых логов.

http://10.7.9.130:9000/ - user&pass — System — Inputs

  • Select input: GELF TCP

и нажимаю Launch new input где указываю настройки приемника:

  • Node: выбираю текущую ноду 215c2575/srv-trusty
  • Title: Windows System Event
  • Bind address: 10.7.9.130
  • Port: 22514

остальные поля по дефолту и нажимаю Save. После чего настроенный «Вход» должен запуститься:

Настроенный приемник для принятия Event Log с Windows систем

Проверяю, а действительно ли указанный порт для входа ожидает подключения:

ekzorchik@srv-trusty:~$ sudo netstat -tulpn | grep :22514

tcp6 0 0 10.7.9.130:22514 :::* LISTEN 827/java

Так отлично.

Шаг №2:

Далее на Windows систему (пусть будет рабочая станция по управлением Windows 7 SP1 Pro x64) нужно установить агент именуемый, как nxlog

На заметку: для своего удобства агент nxlog (nxlog-ce-2.9.1716.msi) сохранил себе в облачное хранилище развернутое на личном сервере HP MicroServer Gen8 сервиса Ubuntu Trusty Server + OwnCloud.

Запускаю установку приложения nxlog с правами Администратора. Повинуюсь шагам мастера инсталляции:

I accept the terms in the License Agreement: отмечаю галочкой

и нажимаю Install, после снимаю галочку с «Open README.txt to read important installation notes» и нажимаю Finish. Вот и вся установка.

Шаг №3:

Перехожу к настройке конфигурационного файла агента nxlog

На заметку: Месторасположение конфигурационного файла

  • если система x64, то: %ProgramFiles%\nxlog\conf\nxlog.conf
  • если система x86, то: %ProgramFiles(x86)%\nxlog\conf\nxlog.conf

На заметку: Лог работы агента располагается в \nxlog\data\nxlog.log

Узнаю текущая архитектуру системы ну так проверка:

Win + R → cmd.exe →

C:\Users\alexander.ollo>systeminfo | findstr /C:"Тип системы:"

Тип системы: x64-based PC

значит открываем (советую использовать Notepad++) соответствующий конфигурационный файл nxlog.conf и добавляем следующие строки:

<Extension gelf>

Module xm_gelf

</Extension>

<Output out>

Module om_tcp

Host 10.7.9.130

Port 22514

OutputType GELF_TCP

</Output>

После чего не забываем сохранить внесенные изменения и перезапустить сервис агента nxlog:

Запускаю сервис агента nxlog

На заметку: Служба nxlog работает от имени системной учетной записи. Значит не важно кто работает в системе, пользователь или администратор ничего не будет скрыто, а факт удаления логов также будет зафиксирован.

Либо через GUI интерфейс: Пуск — Панель управления — Администрирование — Службы — находим сервис именуемый как nxlog и запускаем.

После можно открыть лог работы службы агента и посмотреть что в нем есть:

Лог работы агента nxlog

Для удаления агента с Windows системы действия следующие:

C:\Windows\system32>net stop nxlog

C:\Windows\system32>wmic product where name="NXLog-CE" call uninstall /nointeractive

C:\Windows\system32>rmdir /S /Q "c:\Program Files (x86)\nxlog"

Почему-то на моей системе SP1 X64 агент установился в путь 32 разрядных установок, такое может быть если само приложение не 64-битное.

Шаг №4:

Теперь нужно проверить, а как отправлять возникающие события в систему GrayLog. В Windows системах присутствует такая утилита, как => eventcreate

C:\Windows\system32>eventcreate /L Application /SO TestMessage /t Information /i

d 666 /d "Реальные заметки Ubuntu & Windows"

УСПЕХ: событие 'Information' создано в журнале 'Application' с источником 'TestMessage'.

После переключаюсь на Graylog, открываю: Search

  • Search in the last 5 minutes
  • в поле с лупой набираю W7X64

и проставляю галочками поля которые вывести в отчет по этой системе: EventID, Message, source и вижу свое событие с EventID равным 666 и текстом «Реальные заметки Ubuntu & Windows»

Искуственное событие созданное на Windows перенаправилось в GraylogЕще щелкнуть левой кнопкой мыши по этому сообщению, то на обзор предстанет расширенная информация со всеми полями, где будет видно кто отправил данное событие, когда, с какой системы и т. д.

Щелкнув по событию можно отобразить расширенную информацию

Задача по получению логов с систем Windows отработана. На этом у меня все. С уважением автор блога Олло Александр aka ekzorchik.