G DATA Business Solutions: SIEM Plugin Konfiguration Graylog

Graylog ist ein Open-Source-Programm, das viele Logformate verarbeiten kann.

Mithilfe dieser Anleitung können Sie über den Telegraf Dienst Sicherheitsereignisse des G DATA Management Servers an Ihren Graylog Server weitergeben (Output).

Diese Anleitung setzt voraus, dass die eingehende Konfiguration sowie die G DATA Management Server Konfiguration bereits vorgenommen wurde.

Plugin Konfiguration

  1. Erstellen Sie in Graylog einen neuen Dateninput.

  2. Geben Sie Ihre Daten in der Übersicht Editing Input UDP GELF ein.
    Wählen Sie als Port 12201.

Telegraf Konfiguration

1.

Öffnen Sie mit einem Editor die Telegraf-Konfigurationsdatei

C:\Program Files (x86)\G Data\G DATA AntiVirus ManagementServer\Telegraf/telegraf.config

2.

Passen Sie den folgenden Wert an:

[[outputs.syslog]]

## URL to connect to

## ex: address = "tcp://127.0.0.1:8094"

## ex: address = "tcp4://127.0.0.1:8094"

## ex: address = "tcp6://127.0.0.1:8094"

## ex: address = "tcp6://[2001:db8::1]:8094"

## ex: address = "udp://127.0.0.1:8094"

## ex: address = "udp4://127.0.0.1:8094"

## ex: address = "udp6://127.0.0.1:8094"

address = "udp://127.0.0.1:514"

Die Zeile address = "udp://127.0.0.1:514" muss mit Rauten versehen werden:
## address = "udp://127.0.0.1:514".

3.

Fügen Sie folgende Zeilen hinzu. Ersetzen Sie dabei die im Beispiel angegebene IP 10.28.11.145 durch die IP Ihres Graylog Servers.

[[outputs.graylog]]
## UDP endpoint for your graylog instances.
servers = ["10.28.11.145:12201"]

4.

Speichern Sie die Datei.

5.

Legen Sie einen neuen Telegraf Dienst an, der die angepasste telegraf.conf verwendet.

Verwandte Kapitel: