G DATA Business Solutions: SIEM Plugin Konfiguration Graylog
Graylog ist ein Open-Source-Programm, das viele Logformate verarbeiten kann.
Mithilfe dieser Anleitung können Sie über den Telegraf Dienst Sicherheitsereignisse des G DATA Management Servers an Ihren Graylog Server weitergeben (Output).
Diese Anleitung setzt voraus, dass die eingehende Konfiguration sowie die G DATA Management Server Konfiguration bereits vorgenommen wurde.
Plugin Konfiguration
-
Erstellen Sie in Graylog einen neuen Dateninput.
-
Geben Sie Ihre Daten in der Übersicht Editing Input UDP GELF ein.
Wählen Sie als Port 12201.
Telegraf Konfiguration
Alternativ zu Punkt 1 bis 4 können Sie hier eine für Graylog vorbereitete telegraf.conf herunterladen. Entpacken Sie die zip-Datei und ersetzen Sie die im Verzeichnis
vorhandene telegraf.config durch die Datei aus der heruntergeladenen zip-Datei. Allerdings müssen Sie dennoch, wie im Beispiel unter Punkt 3 gezeigt, die IP in der Datei durch die IP Ihres Graylog-Servers ersetzen. Gehen Sie danach direkt zu Punkt 5. |
1. |
Öffnen Sie mit einem Editor die Telegraf-Konfigurationsdatei
|
2. |
Löschen Sie alle vorhandenen Zeilen in dem Block OUTPUT PLUGINS (siehe Screenshot unter Punkt 3) |
3. |
Fügen Sie folgende Zeilen hinzu. Ersetzen Sie dabei die im Beispiel angegebene IP 127.0.0.1 durch die IP Ihres Graylog Servers.
So sieht der fertige Block aus: |
4. |
Speichern Sie die Datei. |
5. |
Legen Sie einen neuen Telegraf Dienst an, der die angepasste telegraf.conf verwendet. |
Verwandte Kapitel: