Graylog Benutzerhandbuch
Was Sie bekommen
Sie erhalten von uns eine funktionsfähige Graylog Installation. Diese können Sie frei verwenden. Melden Sie sich einfach mit den von Ihnen zur Verfügung gestellten Zugangsdaten am Webfrontent an. Wir haben bereits erste Einstellungen vorgenommen, sodass Sie direkt starten können Voraussetzungen
Zugang zum Graylog Webfrontend Aktueller Browser Administrationszugriff auf die Systeme welche in Graylog loggen sollen.
Wie Sie starten
Nach dem Login als Administrator haben Sie alle Möglichkeiten Ihre Graylog-Installation Ihren Bedürfnissen anzupassen. Logfiles einliefern
Unter System > Inputs finden Sie die bereits von uns angelegten Input-Schnittstellen. Hier sind alle gängigen Protokolle (GELF, SNMP und Syslog) vertreten, sodass Sie direkt starten können.
Linux
Unter Linux können Sie die Syslog-Meldungen direkt an Graylog senden indem Sie unter Ihrer syslog-Instanz gemäß Dokumentation anpassen.
Windows
Log-Meldung mit dem Tool NXlog einliefern, Doku:
https://www.scip.ch/?labs.20141106 auch per SSL-Verschlüsselung auf https://www.scip.ch/?labs.20141106 Abschnitt "TLS/SSL Encryption hinzufügen"
Weitere Logfiles
Aufgrund der offenen Schnittstellen und Datenmodelle kann Graylog für viele Anwendungen verwendet werden. Sie finden im offiziellen Marketplace viele Plugins um z.B. einen Webserver, einen Datenbankserver oder eine selbstentwickelte Anwendung mit Ihrer Graylog-Installation zu verknüpfen. Dashboard
Ein großes Feature von Graylog ist das Dashboard. Hier haben Sie alle wichtigen Informationen auf einen Blick. Gestalten Sie ein Dashboard indem Sie unter dem Menüpunkt „Dashboards“ ein neues Dashboard anlegen. Anschließend können Sie Ihre Suchen mittes „Add to Dashboard“ auf ein beliebiges Dashboard übertragen. Somit haben Sie wichtige Parameter (z.B. die Anzahl der fehlerhaften Logins oder die Anzahl der Zugriffe auf Ihren Webserver) immer im Blick. Streams & Pipelines
Nicht alle Logmeldungen sind relevant, einige Logeinträge können auch direkt verworfen werden um Speicherplatz zu sparen und die Logmeldungen übersichtlicher zu halten. Hierfür gibt es Streams und Pipelines. Mit diesen Funktionen können Sie Ihre Logmeldungen bereits beim Einliefern in Graylog filtern lassen. So können Logfiles von verschiedenen Hosts temporär komplett verworfen werden. Inputs
Es können verschiedene Eingabemöglichkeiten benutzt werden, die Sie auch selbst verwalten und erweitern können. Menüpunkt: System/Inputs.
Folgende Inputs sind von uns vordefiniert:
Syslog UDP, Port 514 und 1514 Syslog TCP, Port 514 und 1514 Syslog TCP-TLS, Port 1517 SNMP UDP, Port 161 und 1516 GELF UDP, Port 1515 GELF TCP, Port 1515 GELF HTTPS, Port 1518
Speichermanagment
Sie erhalten im Standartprodukt 100GB Festplattenspeicher für Ihre Logfiles. Wir haben Ihren Graylogserver bereits entsprechend konfiguriert. Sobald die Menge der Logfiles die Festplattenkapazität überschreitet werden alte Logfiles in 5GB Blöcken gelöscht. Sie können auf dieses Verhalten unter System->Indices einfluss nehmen. Wir möchten Sie jedoch ausdrücklich darauf hinweisen, dass dies die Funktionsfähigkeit Ihres Graylog-Servers beeinträchtigen kann.
Wenn Sie eine Erhöhung des Speichers wünschen wenden Sie sich bitte an den Vertrieb.
Wichtige Information
In Ihrer Graylog-Installation befindet sich bereits ein User mit den Namen „norisadmin“, den Sie nicht löschen können.
Wir verwenden den User um die Metriken Ihrer Graylog-Installation zu erfassen. Außerdem können wir mit diesem User auf Ihre Installation zugreifen um Ihnen im Supportfall direkt helfen zu können. Dokumentationen & Links
Weitere Informationen, viele hilfreiche Tipps und HowTos finden Sie in der offiziellen Dokumentation von Graylog unter