"项目中可能需要我们ueba将部分操作日志通过syslog外发，以下是配置说明。 1、修改 logstash 配置文件 vi /isearch/isa/conf/logstash/logstash.conf中在output区域添加syslog ...."

huangmh
Rpa 29 号会员
UEBA 其他经验 • 0 回帖 • 1.8K 浏览 • 2018-09-15 10:55:44

使用 Logstash 外发 syslog

项目中可能需要我们ueba将部分操作日志通过syslog外发，以下是配置说明。

1、修改 logstash 配置文件

vi /isearch/isa/conf/logstash/logstash.conf中在output区域添加syslog外发配置，例如下面配置，需几种日志外发，就要配置几段。

output {
        if [action] == "shell" {
                               syslog{
                                     host => "192.168.0.138"
                                     message => "%{host}|%{action}|%{content}"
                                     port => 514
                               }
                              }
}

2、syslog 括号里面，接受服务器的 host 和 port 按实际环境修改。

message 中 %{host}、%{action}、%{content} 按需要进行选择配置，中间用间隔符，这里选用了“|”

3、停止 logstash 进程
/isearch/bin/logstash.sh stop

4、检查 logstash 进程是否已停止
ps -ef|grep logstash

5、启动 logstash 进程
/isearch/bin/logstash.sh start

6、检查 logstash 进程是否正常启动
ps -ef|grep logstash

7、在 ueba 页面上搜索中查看是否有新的实时日志更新进来

8、在服务器上使用 tcpdump 检测是否有外发的 syslog 包。