Warum?
● Zentrale Protokollierung● Einfacher Zugriff auf die Daten● Vereinheitlichung der Daten● Korrelation und Vergleich möglich
Vereinheitlichung
● Zeitstempel– Syslog: Sep 21 06:50:03– OpenVPN: Mon Sep 21 01:05:57 2015– Apache: 21/Sep/2015:06:25:37 +0200– UNIX Epoch: 2147483647
Installation
● Virtual Machine Appliances (OVA)● Pakete (Ubuntu, Debian, CentOS)● Docker Container● Puppet, Chef, Ansible● Vagrant● OpenStack● Amazon AWS
Content Packs
● Paket– Input
– Extractor
– Stream
– Dashboard
– Output
● Nginx● Cisco Catalyst● HAProxy● Cacti● Heroku (PaaS)
Message Inputs
● Syslog● GELF (Graylog Extended Log Format)● Ruby on Rails● Logstash (via GELF)● Windows (via Collector)● Graylog Collector
Streams
● Streams routen Nachrichten● Echtzeit (während der Analyse)● Können Alarme erzeugen
– Alarm Callbacks
– Alarm Receivers
● Outputs– Echtzeitweiterleitung
Extractors
● Syslog != Syslog● Extraktion ist wichtighttp_response_code:>=500 AND user_id:9001
● Reguläre Ausdrücke● Grok