G DATA Business Solutions: SIEM Plugin Konfiguration Graylog

Graylog ist ein Open-Source-Programm, das viele Logformate verarbeiten kann.

Mithilfe dieser Anleitung können Sie über den Telegraf Dienst Sicherheitsereignisse des G DATA Management Servers an Ihren Graylog Server weitergeben (Output).

Diese Anleitung setzt voraus, dass die eingehende Konfiguration sowie die G DATA Management Server Konfiguration bereits vorgenommen wurde.

Plugin Konfiguration

Erstellen Sie in Graylog einen neuen Dateninput.
Geben Sie Ihre Daten in der Übersicht Editing Input UDP GELF ein.
Wählen Sie als Port 12201.

Telegraf Konfiguration

Alternativ zu Punkt 1 bis 4 können Sie hier eine für Graylog vorbereitete telegraf.conf herunterladen.

Entpacken Sie die zip-Datei und ersetzen Sie die im Verzeichnis

 C:\Program Files (x86)\G Data\G DATA AntiVirus ManagementServer\Telegraf

vorhandene telegraf.config durch die Datei aus der heruntergeladenen zip-Datei.

Allerdings müssen Sie dennoch, wie im Beispiel unter Punkt 3 gezeigt, die IP in der Datei durch die IP Ihres Graylog-Servers ersetzen.

Gehen Sie danach direkt zu Punkt 5.

1.	Öffnen Sie mit einem Editor die Telegraf-Konfigurationsdatei `C:\Program Files (x86)\G Data\G DATA AntiVirus ManagementServer\Telegraf\telegraf.config`
2.	Löschen Sie alle vorhandenen Zeilen in dem Block OUTPUT PLUGINS (siehe Screenshot unter Punkt 3)
3.	Fügen Sie folgende Zeilen hinzu. Ersetzen Sie dabei die im Beispiel angegebene IP 127.0.0.1 durch die IP Ihres Graylog Servers. `[[outputs.graylog]] ## UDP endpoint for your graylog instances. servers = ["127.0.0.1:12201"]` So sieht der fertige Block aus:
4.	Speichern Sie die Datei.
5.	Legen Sie einen neuen Telegraf Dienst an, der die angepasste telegraf.conf verwendet.

Verwandte Kapitel:

→ G DATA Management Server und Telegraf für SIEM konfigurieren