利用graylog收集各类安全设备日志实现大屏展示

在一个集中视图中展示公司所有安全设备的日志汇总和关联安全事件，是建立安全运营中心的一个前提，作为统一的日志中心，集中管理来自多个数据源的日志。来进行高效检索与分析，更快定位问题，持续挖掘数据价值，业界有商业的splunk软件，以及开源的ELK能够实现。本次将介绍Graylog来实现统一的日志收集和分析。

Graylog是一款优秀的日志收集分析软件，区别于ELK，它更加简洁，高效，部署使用更加简单，Graylog几乎集合了ELK的常用功能，支持数据收集、检索、可视化Dashboard管理，并提供REST服务接口服务，方便功能扩展与定制。

通过Graylog监控防火墙和waf日志并形成报告

在本例中，通过graylog，将防火墙和waf的日志进行收集并呈现，最终的效果图如下：

一：Graylog的安装部署

环境

1. 日志源：安全设备日志(Imperva WAF、Paloalto防火墙)等；

2. 日志分析：通过虚拟机单机部署，操作系统Centos 7.5，安装Graylog v

3.0.2版本，通过syslog收集防火墙和WAF日志。

graylog采用单机部署，架构如下

安装环境：linux centOS系统安装，本实例中准备的为7.5版本# cat /etc/redhat-release

CentOS Linux release 7.5.1804 (Core)

安装顺序：

1.安装java

sudo yum install java-1.8.0-openjdk-headless.x86_64

同时，后面需要pwgen工具，所以需要安装 EPEL，安装方法：

sudo yum install epel-release

sudo yum install pwgen

2.安装部署mongodb

安装mongodb之前，需要编辑文件/etc/yum.repos.d/mongodb-org.repo 内容如下：

[mongodb-org-4.0]

name=MongoDB Repository

baseurl=https:///yum/redhat/$releasever/mongodb-org/4.0/x86_64/ gpgcheck=1

enabled=1

gpgkey=https:///static/pgp/server-4.0.asc

然后执行sudo yum install mongodb-org

安装完毕之后，执行如下命令，启动服务并设置为自动启动：

$ sudo systemctl daemon-reload

$ sudo systemctl enable mongod.service

$ sudo systemctl start mongod.service

3.安装部署elasticsearch

[elasticsearch-6.x]

name=Elasticsearch repository for6.x packages

baseurl=https://artifacts.elastic.co/packages/oss-6.x/yum

gpgcheck=1

gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch

enabled=1

autorefresh=1

type=rpm-md

然后执行：sudo yum install elasticsearch-oss

安装完毕之后，编辑/etc/elasticsearch/elasticsearch.yml，确保如下内容改动如下：

: graylog

action.auto_create_index: false

安装完毕之后，执行如下命令，启动服务并设置为自动启动：

$ sudo systemctl daemon-reload

$ sudo systemctl enable elasticsearch.service

$ sudo systemctl restart elasticsearch.service

4.安装部署graylo

通过如下命令即可安装：

$ sudo rpm -Uvh

https:///repo/packages/graylog-3.0-repository_latest.rpm

$ sudo yum install graylog-server

然后生成root_password_sha2

echo -n "Enter Password: "&& head -1

"-f1

这个命令意思就是说，输入一个密码，然后密码变为sha2格式的密码串

然后生成password_secret，这个可以用如下命令生成：

pwgen -N 1 -s 96

然后编辑/etc/graylog/server/server.conf 文件，将上面的

root_password_sha2和password_secret写入改文件即可。

然后同样将服务改为自动启动，并启动

$ sudo systemctl daemon-reload

$ sudo systemctl enable graylog-server.service

$ sudo systemctl start graylog-server.service

最后，就是关闭防火墙，通过浏览器登录http://xxx:9000/测试能否登录成功，用户名为admin，密码为上述root_password_sha2 的原密码。

二：Syslog配置

1、控制台增加syslog服务