Graylog2

● Protokollanalyse● Sammlung● Indizierung● Analyse

Warum?

● Zentrale Protokollierung● Einfacher Zugriff auf die Daten● Vereinheitlichung der Daten● Korrelation und Vergleich möglich

Vereinheitlichung

● Zeitstempel– Syslog: Sep 21 06:50:03– OpenVPN: Mon Sep 21 01:05:57 2015– Apache: 21/Sep/2015:06:25:37 +0200– UNIX Epoch: 2147483647

Installation

● Virtual Machine Appliances (OVA)● Pakete (Ubuntu, Debian, CentOS)● Docker Container● Puppet, Chef, Ansible● Vagrant● OpenStack● Amazon AWS

Architektur

docs.graylog.org

Hochverfügbar

docs.graylog.org

Content Packs

● Paket– Input

– Extractor

– Stream

– Dashboard

– Output

● Nginx● Cisco Catalyst● HAProxy● Cacti● Heroku (PaaS)

Message Inputs

● Syslog● GELF (Graylog Extended Log Format)● Ruby on Rails● Logstash (via GELF)● Windows (via Collector)● Graylog Collector

Streams

● Streams routen Nachrichten● Echtzeit (während der Analyse)● Können Alarme erzeugen

– Alarm Callbacks

– Alarm Receivers

● Outputs– Echtzeitweiterleitung

Extractors

● Syslog != Syslog● Extraktion ist wichtighttp_response_code:>=500 AND user_id:9001

● Reguläre Ausdrücke● Grok

Extractor Wizard

Dashboards

Benutzerverwaltung

● Benutzer● Rollen● LDAP

Index Wartung

● Automatisches Löschen alter Indices

Graylog <> ELK

Danke