Graylog Benutzerhandbuch

Aus Technische Infos - info.noris.net
Wechseln zu: Navigation, Suche

Was Sie bekommen

Sie erhalten von uns eine funktionsfähige Graylog Installation. Diese können Sie frei verwenden. Melden Sie sich einfach mit den von Ihnen zur Verfügung gestellten Zugangsdaten am Webfrontent an. Wir haben bereits erste Einstellungen vorgenommen, sodass Sie direkt starten können Voraussetzungen

   Zugang zum Graylog Webfrontend
   Aktueller Browser
   Administrationszugriff auf die Systeme welche in Graylog loggen sollen.

Wie Sie starten

Nach dem Login als Administrator haben Sie alle Möglichkeiten Ihre Graylog-Installation Ihren Bedürfnissen anzupassen. Logfiles einliefern

Unter System > Inputs finden Sie die bereits von uns angelegten Input-Schnittstellen. Hier sind alle gängigen Protokolle (GELF, SNMP und Syslog) vertreten, sodass Sie direkt starten können.

Linux

Unter Linux können Sie die Syslog-Meldungen direkt an Graylog senden indem Sie unter Ihrer syslog-Instanz gemäß Dokumentation anpassen.

Windows

Log-Meldung mit dem Tool NXlog einliefern, Doku:

   https://www.scip.ch/?labs.20141106
   auch per SSL-Verschlüsselung auf https://www.scip.ch/?labs.20141106 Abschnitt "TLS/SSL Encryption hinzufügen"

Weitere Logfiles

Aufgrund der offenen Schnittstellen und Datenmodelle kann Graylog für viele Anwendungen verwendet werden. Sie finden im offiziellen Marketplace viele Plugins um z.B. einen Webserver, einen Datenbankserver oder eine selbstentwickelte Anwendung mit Ihrer Graylog-Installation zu verknüpfen. Dashboard

Ein großes Feature von Graylog ist das Dashboard. Hier haben Sie alle wichtigen Informationen auf einen Blick. Gestalten Sie ein Dashboard indem Sie unter dem Menüpunkt „Dashboards“ ein neues Dashboard anlegen. Anschließend können Sie Ihre Suchen mittes „Add to Dashboard“ auf ein beliebiges Dashboard übertragen. Somit haben Sie wichtige Parameter (z.B. die Anzahl der fehlerhaften Logins oder die Anzahl der Zugriffe auf Ihren Webserver) immer im Blick. Streams & Pipelines

Nicht alle Logmeldungen sind relevant, einige Logeinträge können auch direkt verworfen werden um Speicherplatz zu sparen und die Logmeldungen übersichtlicher zu halten. Hierfür gibt es Streams und Pipelines. Mit diesen Funktionen können Sie Ihre Logmeldungen bereits beim Einliefern in Graylog filtern lassen. So können Logfiles von verschiedenen Hosts temporär komplett verworfen werden. Inputs

Es können verschiedene Eingabemöglichkeiten benutzt werden, die Sie auch selbst verwalten und erweitern können. Menüpunkt: System/Inputs.

Folgende Inputs sind von uns vordefiniert:

   Syslog UDP, Port 514 und 1514
   Syslog TCP, Port 514 und 1514
   Syslog TCP-TLS, Port 1517
   SNMP UDP, Port 161 und 1516
   GELF UDP, Port 1515
   GELF TCP, Port 1515
   GELF HTTPS, Port 1518

Speichermanagment

Sie erhalten im Standartprodukt 100GB Festplattenspeicher für Ihre Logfiles. Wir haben Ihren Graylogserver bereits entsprechend konfiguriert. Sobald die Menge der Logfiles die Festplattenkapazität überschreitet werden alte Logfiles in 5GB Blöcken gelöscht. Sie können auf dieses Verhalten unter System->Indices einfluss nehmen. Wir möchten Sie jedoch ausdrücklich darauf hinweisen, dass dies die Funktionsfähigkeit Ihres Graylog-Servers beeinträchtigen kann.

Wenn Sie eine Erhöhung des Speichers wünschen wenden Sie sich bitte an den Vertrieb.

Wichtige Information

In Ihrer Graylog-Installation befindet sich bereits ein User mit den Namen „norisadmin“, den Sie nicht löschen können.

Wir verwenden den User um die Metriken Ihrer Graylog-Installation zu erfassen. Außerdem können wir mit diesem User auf Ihre Installation zugreifen um Ihnen im Supportfall direkt helfen zu können. Dokumentationen & Links

Weitere Informationen, viele hilfreiche Tipps und HowTos finden Sie in der offiziellen Dokumentation von Graylog unter

http://docs.graylog.org/en/stable/