Graylog: Eingaben konfigurieren

Wie man Graylog-Eingaben konfiguriert

👋 Willkommen bei der Stackhero-Dokumentation!

Stackhero bietet eine einsatzbereite Graylog Cloud-Lösung, die zahlreiche Vorteile bietet, darunter:

  • Unbegrenzter und dedizierter SMTP-E-Mail-Server inklusive.
  • Mühelose Updates mit nur einem Klick.
  • Anpassbarer Domainname gesichert mit HTTPS (zum Beispiel, https://logs.ihre-firma.com).
  • Optimale Performance und robuste Sicherheit durch eine private und dedizierte VM.

Sparen Sie Zeit und vereinfachen Sie Ihr Leben: Es dauert nur 5 Minuten, um die Graylog Cloud Hosting-Lösung von Stackhero auszuprobieren!

Was ist eine Graylog-Eingabe?

Graylog verarbeitet Logs von Ihren Apps, Servern, Routern oder Switches über eine oder mehrere Eingaben. Diese Eingaben unterstützen die Protokolle TCP oder UDP und können verschiedene Datenformate wie GELF, CEF, Syslog oder RAW verarbeiten. TLS-Verschlüsselung (SSL/HTTPS) kann im Stackhero-Dashboard für TCP-Eingaben aktiviert werden.

Beachten Sie, dass Sie sich auch mit einem Kafka- oder RabbitMQ (AMQP)-Server verbinden können. In diesem Fall wird Graylog direkt mit Ihrem Kafka- oder RabbitMQ-Server verbunden, und Sie müssen dieser Anleitung nicht folgen.

Wenn Sie nicht wissen, welche Art von Eingabe Sie verwenden sollten, lesen Sie zuerst unseren Leitfaden "Eingabetypen wählen".

Wie man eine Eingabe in Graylog erstellt

Um Ihre Graylog-Eingabe einzurichten, müssen Sie sie zuerst in der Graylog-Weboberfläche erstellen. Anschließend deklarieren Sie die Eingabe im Stackhero-Dashboard und öffnen die notwendigen Firewall-Ports, um den Datenverkehr zu Ihrer Instanz zuzulassen.

1. Die Eingabe in der Graylog-Weboberfläche deklarieren

  1. Verbinden Sie sich mit Ihrer Graylog-Weboberfläche und navigieren Sie zu System, dann Inputs.

  2. Wählen Sie im Dropdown-Menü Select input eine Eingabe basierend auf dem Datentyp, den Sie empfangen werden, und klicken Sie auf Launch new input.

    Auswahl einer Eingabe in der Graylog-WeboberflächeAuswahl einer Eingabe in der Graylog-Weboberfläche

  3. In dem sich öffnenden Modal aktivieren Sie Global und vergeben einen Titel (zum Beispiel "GELF UDP", wenn Sie keinen spezifischeren Titel haben). Vermeiden Sie es, andere Einstellungen zu ändern, es sei denn, Sie sind sich der Änderungen sicher.

Wenn Sie planen, TLS-Verschlüsselung (SSL/HTTPS) zu verwenden, WÄHLEN SIE NICHT TLS in der Graylog-Weboberfläche. Die TLS-Verschlüsselung wird direkt von Ihrem Reverse-Proxy über das Stackhero-Dashboard verwaltet.

Beispiel einer GELF UDP-Eingabe in GraylogBeispiel einer GELF UDP-Eingabe in Graylog

  1. Notieren Sie sich den Port Ihrer Eingabe, da Sie ihn später im Stackhero-Dashboard angeben müssen. Klicken Sie dann auf Save.

2. Die Eingabe auf Stackhero deklarieren

Nachdem Sie die Eingabe in der Graylog-Weboberfläche erstellt haben, müssen Sie sie im Stackhero-Dashboard deklarieren.

  1. Gehen Sie zu Ihrem Stackhero-Dashboard und wählen Sie Ihre Graylog-Instanz aus.
  2. Klicken Sie auf die Schaltfläche Configure.
  3. Überprüfen Sie in der Liste Input ports, ob der Port Ihrer neuen Eingabe deklariert ist. Falls nicht, fügen Sie ihn hinzu.
  4. Überprüfen Sie den Protokolltyp (UDP oder TCP). Wenn Sie TCP verwenden, können Sie die TLS-Verschlüsselung (SSL/HTTPS) aktivieren, indem Sie die entsprechende Option aktivieren (denken Sie daran, dass Sie TLS in der Graylog-Weboberfläche nicht aktivieren sollten!).
  5. Sobald Sie diese Schritte abgeschlossen haben, validieren Sie Ihre neue Konfiguration.

Beispiel einer GELF UDP-Eingabekonfiguration auf StackheroBeispiel einer GELF UDP-Eingabekonfiguration auf Stackhero

3. Datenverkehr in der Firewall zulassen

Schließlich müssen Sie nach der Deklaration Ihrer Eingabe im Stackhero-Dashboard den Datenverkehr durch Ihre Firewall zulassen.

  1. Gehen Sie zum Stackhero-Dashboard, wählen Sie Ihren Graylog-Dienst aus und klicken Sie auf Firewall.
  2. Stellen Sie sicher, dass eine Regel den Datenverkehr von Ihrer IP akzeptiert (oder verwenden Sie 0.0.0.0/0, um alle IPs zuzulassen).
  3. Wenn eine solche Regel nicht existiert, erstellen Sie eine, indem Sie auf die Schaltfläche Add a rule klicken.
  4. Wählen Sie die IP aus, die Sie zulassen möchten (setzen Sie sie auf 0.0.0.0/0 für alle IPs), und geben Sie die Ports an, die Daten von dieser IP empfangen werden.
  5. Wählen Sie die Aktion Accept.

Speichern Sie die Regel und validieren Sie die Konfiguration, indem Sie auf die Schaltfläche Validate klicken.

Beispiel einer Firewall-KonfigurationBeispiel einer Firewall-Konfiguration

Ihre Eingabe ist jetzt vollständig konfiguriert und einsatzbereit!

Fehlerbehebung: Eine Graylog-Eingabe funktioniert nicht

Wenn eine Graylog-Eingabe nicht wie erwartet funktioniert, überprüfen Sie die folgende Checkliste:

  1. In der Graylog-Weboberfläche:

    1. Gehen Sie zu System dann Inputs und bestätigen Sie, dass die Eingabe läuft.
    2. Überprüfen Sie, ob das Protokoll (UDP oder TCP) korrekt ist.
    3. Wenn Sie TCP verwenden, stellen Sie sicher, dass tls_enable auf false gesetzt ist, da die Verschlüsselung im Stackhero-Dashboard verwaltet wird.
    4. Bestätigen Sie, dass der Port korrekt ist.
    5. Überprüfen Sie, dass das Datenformat korrekt ist (GELF, CEF, RAW oder Syslog).

  2. Im Stackhero-Dashboard:

    1. Wählen Sie Ihre Graylog-Instanz aus und klicken Sie auf die Schaltfläche Configure.
    2. Stellen Sie in der Liste Input ports sicher, dass der Port mit dem richtigen Protokoll (UDP oder TCP) definiert ist.
    3. Wenn Sie TCP verwenden, bestätigen Sie, dass die TLS-Option für die Verschlüsselung (SSL/HTTPS) aktiviert ist.

  3. In der Firewall:

    1. Im Stackhero-Dashboard wählen Sie Ihre Graylog-Instanz aus und klicken Sie auf den Tab Firewall.
    2. Stellen Sie sicher, dass eine Regel den Datenverkehr für den Eingabeport und das Protokoll akzeptiert. Wenn Sie alle IPs zulassen möchten, setzen Sie das IP-Feld auf 0.0.0.0/0.

Durch das Befolgen dieser Checkliste sollte es keinen Grund geben, warum die Eingabe fehlschlägt.

Other articles for Graylog