Syslog-ng
syslog -ng是syslog的开源实现。您可以使用syslog-ng来监控服务器上的日志文件,并将其转发给insights。我们支持两种将rsyslog事件转发到InsightOps的方法,下面将对此进行说明。我们建议使用基于令牌的输入法,它带来了额外的安全性,并且独立于实际源IP地址。
令牌TCP
通过在“添加数据”页面中选择“手动配置”选项,并选择“快速添加”选项,在insighttops界面中添加新日志。创建日志后,您将收到一个令牌UUID,它将打印在表单下,然后打印在日志列表中的日志名称旁边。在下面的模板部分输入这个令牌,并将完整的配置复制到您的syslog-ng配置文件/etc/syslog-ng/syslog-ng.conf
1模板InsightOpsFormat{2模板(“TOKEN_HERE$ISODATE$HOST$MSG\n”);模板(编号);;3.};45来源s_all{6内部();7unix-stream (/ var / log / error.log);8};910目的地d_network_logentries {11tcp (" REGION.data.logs.insight.rapid7.com "端口(80)的模板(InsightOpsFormat));12};1314日志{15来源(全部);目的地(网络日志条目);16};
where REGION是您的InsightOps帐户所在的数据中心(例如“欧盟”或“美国”)
安全日志记录
要通过SSL发送日志,请按如下所示配置配置。
1模板InsightOpsFormat{2模板(“TOKEN_HERE$ISODATE$HOST$MSG\n”);模板(编号);;3.};4目的地日志条目{5network("REGION.data.logs.insight.rapid7.com" port(443) template(InsightOpsFormat) transport("tls") tls(ca-dir("/etc/ssl/certs/"));6};78日志{9资料来源(s_本地);目的地(网络日志条目);10};
where REGION是您的InsightOps帐户所在的数据中心(例如“欧盟”或“美国”)
普通的TCP / UDP转发
如果您希望使用更基本的syslog方法,我们也支持这种方法。通过在添加日志页面中选择手动配置选项并选择普通TCP/UDP,在InsightOps UI中添加新日志。创建日志后,您将收到一个要使用的端口号,该端口号将打印在日志列表中的表单下和日志名称旁边。在下面配置的destination部分中输入此端口号,并将完整配置复制到syslog ng配置文件中/etc/syslog-ng/etc/syslog-ng.conf
1来源s_all{2内部();3.unix-stream (/ var / log / error.log);4};5目的地d_logentries {6tcp (" REGION.data.logs.insight.rapid7.com "端口(端口));7};8日志{9源(s_all);目的地(d_logentries);10};
where REGION是您的InsightOps帐户所在的数据中心(例如“欧盟”或“美国”)
重新启动
然后输入以下命令重新启动syslog-ng服务器:
1Sudo service syslog-ng restart
在Syslog-ng 3.0+配置文件中要求
每个syslog ng配置文件必须以包含syslog ng版本信息的行开头。对于syslog ng 3.6版,这行代码如下所示:
1@version: 3.6
在syslog-ng 3.0中引入了配置文件版本管理。如果配置文件中没有版本信息,则syslog-ng假设配置文件为syslog-ng version 2.x。在这种情况下,它解释配置并发送关于配置中应该更新的部分的警告。版本3.0和更高版本将正确地操作版本2的配置文件。X,但某些参数的默认值自3.0以来已经更改。关于这一要求的进一步信息可以找到在这里.