Syslog-ng

syslog -ng是syslog的开源实现。您可以使用syslog-ng来监控服务器上的日志文件,并将其转发给insights。我们支持两种将rsyslog事件转发到InsightOps的方法,下面将对此进行说明。我们建议使用基于令牌的输入法,它带来了额外的安全性,并且独立于实际源IP地址。

基本的

令牌TCP

通过在“添加数据”页面中选择“手动配置”选项,并选择“快速添加”选项,在insighttops界面中添加新日志。创建日志后,您将收到一个令牌UUID,它将打印在表单下,然后打印在日志列表中的日志名称旁边。在下面的模板部分输入这个令牌,并将完整的配置复制到您的syslog-ng配置文件/etc/syslog-ng/syslog-ng.conf

         
1
模板InsightOpsFormat{
2
模板(“TOKEN_HERE$ISODATE$HOST$MSG\n”);模板(编号);;
3.
};
4
5
来源s_all{
6
内部();
7
unix-stream (/ var / log / error.log);
8
};
9
10
目的地d_network_logentries {
11
tcp (" REGION.data.logs.insight.rapid7.com "端口(80)的模板(InsightOpsFormat));
12
};
13
14
日志{
15
来源(全部);目的地(网络日志条目);
16
};

where REGION是您的InsightOps帐户所在的数据中心(例如“欧盟”或“美国”)

基本的

安全日志记录

要通过SSL发送日志,请按如下所示配置配置。

         
1
模板InsightOpsFormat{
2
模板(“TOKEN_HERE$ISODATE$HOST$MSG\n”);模板(编号);;
3.
};
4
目的地日志条目{
5
network("REGION.data.logs.insight.rapid7.com" port(443) template(InsightOpsFormat) transport("tls") tls(ca-dir("/etc/ssl/certs/"));
6
};
7
8
日志{
9
资料来源(s_本地);目的地(网络日志条目);
10
};

where REGION是您的InsightOps帐户所在的数据中心(例如“欧盟”或“美国”)

基本的

普通的TCP / UDP转发

如果您希望使用更基本的syslog方法,我们也支持这种方法。通过在添加日志页面中选择手动配置选项并选择普通TCP/UDP,在InsightOps UI中添加新日志。创建日志后,您将收到一个要使用的端口号,该端口号将打印在日志列表中的表单下和日志名称旁边。在下面配置的destination部分中输入此端口号,并将完整配置复制到syslog ng配置文件中/etc/syslog-ng/etc/syslog-ng.conf

         
1
来源s_all{
2
内部();
3.
unix-stream (/ var / log / error.log);
4
};
5
目的地d_logentries {
6
tcp (" REGION.data.logs.insight.rapid7.com "端口(端口));
7
};
8
日志{
9
源(s_all);目的地(d_logentries);
10
};

where REGION是您的InsightOps帐户所在的数据中心(例如“欧盟”或“美国”)

重新启动

然后输入以下命令重新启动syslog-ng服务器:

         
1
Sudo service syslog-ng restart
基本的

在Syslog-ng 3.0+配置文件中要求

每个syslog ng配置文件必须以包含syslog ng版本信息的行开头。对于syslog ng 3.6版,这行代码如下所示:

         
1
@version: 3.6

在syslog-ng 3.0中引入了配置文件版本管理。如果配置文件中没有版本信息,则syslog-ng假设配置文件为syslog-ng version 2.x。在这种情况下,它解释配置并发送关于配置中应该更新的部分的警告。版本3.0和更高版本将正确地操作版本2的配置文件。X,但某些参数的默认值自3.0以来已经更改。关于这一要求的进一步信息可以找到在这里