Deploy etme işlemi tamamlandıktan sonra gerçekleştireceğimiz ilk yapılandırma log toplamak için input oluşturmak olacak. Böylece Graylog’un ana amacı olan log toplamayı işlevini aktif etmiş olacağız.
Graylog arayüzüne oturum açıldıktan sonra sistem Input menüsü altından Inputs tıklanır.
Windows makinaları için input oluşturma adımları aşağıdaki gibidir:
Sonrasında Select Input menüsünden GELF UDP seçilir.
Launch new input tıklanarak aşağıdaki değerler girilir ve kaydedilir.
Bind address: 0.0.0.0
decompress_size_limit: 8388608
number_worker_threads: 2
override_source: <empty>
port: 12201
recv_buffer_size: 1048566
Nxlog Configuration for windows
Logu alınmak istenen windows makinaya nxlog agent kurulur. (nxlog indirmek için tıklayın)
Kurulum tamamlandıktan sonra program files (x86) altında nxlog/conf klasöründe bulunan nxlog.conf adlı dosya log alışveriş bilgilerinizi içerecek şekilde düzenlenmelidir. Genelde output bölümünde yer alan host, port bilgilerinin değiştirilmesi yeterli olmaktadır. Kullanılan module de değişkenlik gösterebilir. Tüm logları Graylog’a gönderen örnek bir nxlog config dosyası:
Config dosyasını düzenlemeden önce Properties bölümünden kullanıcı yetkileri kontrol edilmelidir. Düzenleme tamamlandığında çalıştıra services.msc yazılır ve nxlog servisi başlatılır.
Graylog arayüzünden oluşturulan inputun üzerine tıklanır. Show Received Messages butonundan alınan loglar görüntülenir.
Linux makinaları için input oluşturma adımları aşağıdaki gibidir:
Select input menüsünden SYSLOG UDP seçilir.
Launch new input tıklanarak aşağıdaki değerler girilir ve kaydedilir.
Bind address: 127.0.0.1
Port: 5140
Receive buffer size: 262144
No. of worker threads: 2
Son olarak “Allow overriding date?” kutucuğu işaretlenir.
Syslog uyumlu cihazların arayüzlerinden graylog IPsi ve kullanılan port numarası girildikten sonra oluşturulan input altından logların alındığı görülebilir.
Graylog arayüzünde Sources menüsüne tıklanır ve log toplanan kaynaklar görüntülenebilir. Üst menüdeki arama motorundan ve ekranın solundaki kriterler baz alınarak filtreleme yapılabilir.
Stream üst başlığına tıklanarak “Create Stream” butonuna basılır. Ardından streame bir isim verilir ve Index Set seçimi yapılır.
Daha sonra oluşturulan stream ayarlarından Manage Rules menüsüne girilir. “Manage Stream Rules” başlığı altında filtrelenmek istenen akış parametreleri girilir ve kaydedilir.
Manage Alerts menüsünden öncelikle yeni bir Event Definitions oluşturulur ve sırasıyla Event Details, Filter & Aggregation ve Notifications bölümleri yapılandırılır.
Sonrasında SSH ile bağlantı sağlanarak sudo nano /etc/graylog/server/server.conf komutu ile graylog konfigürasyon dosyası içerisinden SMTP yapılandırmaları tamamlanır.
