Syslog-ng
syslog -ng是syslog的开源实现。您可以使用syslog-ng来监控服务器上的日志文件,并将其转发给insights。我们支持两种将rsyslog事件转发到InsightOps的方法,下面将对此进行说明。我们建议使用基于令牌的输入法,它带来了额外的安全性,并且独立于实际源IP地址。
令牌TCP
通过在“添加数据”页面中选择“手动配置”选项,并选择“快速添加”选项,在insighttops界面中添加新日志。创建日志后,您将收到一个令牌UUID,它将打印在表单下,然后打印在日志列表中的日志名称旁边。在下面的模板部分输入这个令牌,并将完整的配置复制到您的syslog-ng配置文件/etc/syslog-ng/syslog-ng.conf
1
模板InsightOpsFormat {
2
模板("TOKEN_HERE $ISODATE $HOST $MSG\n");template_escape(没有);
3.
};
4
5
源s_all {
6
内部();
7
unix-stream (/ var / log / error.log);
8
};
9
10
目的地d_network_logentries {
11
tcp (" REGION.data.logs.insight.rapid7.com "端口(80)的模板(InsightOpsFormat));
12
};
13
14
日志{
15
源(s_all);目的地(d_network_logentries);
16
};
REGION是您的insighttops帐户所在的数据中心(例如:“欧盟”或“我们”)
安全日志
要通过SSL发送日志,请如下所示配置您的配置。
1
模板InsightOpsFormat {
2
模板("TOKEN_HERE $ISODATE $HOST $MSG\n");template_escape(没有);
3.
};
4
目的地logentries {
5
network("REGION.data.logs.insight.rapid7.com" port(443) template(InsightOpsFormat) transport("tls") tls(ca-dir("/etc/ssl/certs/"));
6
};
7
8
日志{
9
源(s_local);目的地(d_network_logentries);
10
};
REGION是您的insighttops帐户所在的数据中心(例如:“欧盟”或“我们”)
普通的TCP / UDP转发
如果您更愿意使用更基本的syslog方式,我们也支持它。通过在“添加日志”页面中选择“手动配置”选项,并选择“普通TCP/UDP”,在instops界面中添加新的日志。创建日志后,您将收到一个要使用的端口号,该端口号将打印在表单下和日志列表中的日志名称旁边。在下面配置的目的部分输入这个端口号,并将完整的配置复制到您的syslog-ng配置文件/etc/syslog-ng/etc/syslog-ng.conf
1
源s_all {
2
内部();
3.
unix-stream (/ var / log / error.log);
4
};
5
目的地d_logentries {
6
tcp (" REGION.data.logs.insight.rapid7.com "端口(端口));
7
};
8
日志{
9
源(s_all);目的地(d_logentries);
10
};
REGION是您的insighttops帐户所在的数据中心(例如:“欧盟”或“我们”)
重新启动
然后输入以下命令重新启动syslog-ng服务器:
1
Sudo service syslog-ng restart
在Syslog-ng 3.0+配置文件中要求
每个syslog-ng配置文件必须以包含syslog-ng版本信息的行开始。对于3.6版的syslog-ng,如下所示:
1
@version: 3.6
在syslog-ng 3.0中引入了配置文件版本管理。如果配置文件中没有版本信息,则syslog-ng假设配置文件为syslog-ng version 2.x。在这种情况下,它解释配置并发送关于配置中应该更新的部分的警告。版本3.0和更高版本将正确地操作版本2的配置文件。X,但某些参数的默认值自3.0以来已经更改。关于这一要求的进一步信息可以找到在这里.