À l'aide de nxlog de navire se connecte à logstash à partir de Windows à l'aide de om_ssl
J'ai été en regardant les options d'expédier les logs de Windows, j'ai déjà eu logstash mis en place, et je suis actuellement navire journaux à partir de Linux (CentOS) les serveurs de mon ELK pile à l'aide de la logstash-transitaire et le cryptage ssl.
Pour des raisons de conformité de chiffrement est assez essentiel dans cet environnement.
J'espérais utiliser logstash-redirecteur de Windows, mais après la compilation à Aller, j'ai couru dans des problèmes de livraison de Journaux d'Événements, et j'ai trouvé des gens en disant que ce n'était pas possible en raison de problèmes de verrouillage de fichier, ce qui le logstash-redirecteur de gens semblent être de travail, mais je ne peux vraiment pas attendre.
De toute façon, finalement, j'ai trouvé que nxlog semble être en mesure d'expédier les journaux dans un format crypté à l'aide de ssl, j'ai trouvé un quelques postes sur similaire sujets et pendant que j'y ai appris pas mal sur la façon d'expédier les journaux de partout, et la façon de nxlog, je suis toujours à une perte avec comment configurer logstash à accepter les journaux afin que je puisse les traiter.
J'ai demandé à la #nxlog et #logstash canaux irc, et a obtenu une certaine confirmation dans #nxlog que c'est possible, pas plus d'informations sur la façon dont il doit être configuré.
De toute façon, j'ai pris le crt fichier créé pour l'utiliser avec mon logstash-transitaire (je vais en créer une nouvelle si besoin, quand je suis heureux que cela fonctionne) et l'a renommé avec un pem extension, qui je crois devrait fonctionner comme il est lisible en format ASCII. J'ai créé la variable d'environnement pour l' %CERTDIR% et de mettre mon fichier, j'ai rédigé dans un fichier de config pour nxlog des autres articles que j'ai lus, je pense que c'est juste, mais je ne suis pas sûr à 100%:
## This is a sample configuration file. See the nxlog reference manual about the
## configuration options. It should be installed locally and is also available
## online at http://nxlog.org/nxlog-docs/en/nxlog-reference-manual.html
## Please set the ROOT to the folder your nxlog was installed into,
## otherwise it will not start.
#define ROOT C:\Program Files\nxlog
define ROOT C:\Program Files (x86)\nxlog
Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data
LogFile %ROOT%\data\nxlog.log
# Enable json extension
<Extension json>
Module xm_json
</Extension>
# Nxlog internal logs
<Input internal>
Module im_internal
Exec $EventReceivedTime = integer($EventReceivedTime) /1000000; to_json();
</Input>
# Windows Event Log
<Input eventlog>
# Uncomment im_msvistalog for Windows Vista/2008 and later
Module im_msvistalog
# Uncomment im_mseventlog for Windows XP/2000/2003
# Module im_mseventlog
Exec $EventReceivedTime = integer($EventReceivedTime) /1000000; to_json();
</Input>
<Output sslout>
Module om_ssl
Host lumberjack.domain.com
Port 5000
CertFile %CERTDIR%/logstash-forwarder.crt
AllowUntrusted TRUE
OutputType Binary
</Output>
<Route 1>
Path eventlog, internal => sslout
</Route>
Ce que je veux savoir est ce que le format d'entrée à utiliser dans logstash j'ai essayé d'expédition connecte à un bûcheron type d'entrée (en utilisant la même config que mon logstash-transitaires) avec la configuration suivante:
input {
lumberjack {
port => 5000
type => "logs"
ssl_certificate => "/etc/pki/tls/certs/logstash-forwarder.crt"
ssl_key => "/etc/pki/tls/private/logstash-forwarder.key"
}
}
Mais lorsque le service a commencé, j'ai d'obtenir les éléments suivants dans le nxlog fichiers de log:
2014-11-06 21:16:20 INFO connecting to lumberjack.domain.com:5000
2014-11-06 21:16:20 INFO nxlog-ce-2.8.1248 started
2014-11-06 21:16:21 INFO successfully connected to lumberjack.domain.com:5000
2014-11-06 21:16:22 INFO remote closed SSL socket
2014-11-06 21:16:22 INFO reconnecting in 1 seconds
2014-11-06 21:16:23 INFO connecting to lumberjack.domain.com:5000
2014-11-06 21:16:24 INFO reconnecting in 2 seconds
2014-11-06 21:16:24 ERROR couldn't connect to ssl socket on lumberjack.antmarketing.com:5000; No connection could be made because the target machine actively refused it.
Quand j'ai tourné la journalisation jusqu'à DEBUG, je vois une énorme quantité de grumes de voler à travers, mais je pense que la clé de la partie est:
2014-11-06 21:20:18 ERROR Exception was caused by "rv" at om_ssl.c:532/io_err_handler(); [om_ssl.c:532/io_err_handler()] -; [om_ssl.c:501/om_ssl_connect()] couldn't connect to ssl socket on lumberjack.domain.com:5000; No connection could be made because the target machine actively refused it.
Je suppose que c'points pour moi, l'utilisation de la mauvaise méthode de saisie sur logstash, mais je suppose que cela pourrait être aussi un problème avec mon ssl cert, ou la façon dont il est configuré. Je ne semble pas être tous les journaux sur le logstash server générée au moment je fais la connexion de ma machine Windows.
Vous devez vous connecter pour publier un commentaire.
Grâce à b0ti pour l'aider, il y avait un certain nombre de questions, mon logstash config a été s'écraser le service, mais j'ai aussi eu des problèmes avec mon nxlog de l'installation ainsi que mes ssl cert, mise en place dans le bon sens.
J'ai trouvé cette post sur la création de ssl cert, qui couvre la façon dont ils sont vraiment bien pour les auto-signé certs pour une utilisation en tant que service web.
La principale chose de mal avec nxlog était comme b0ti souligné j'essayais de navire en binaire lorsque cela ne fonctionne que lors de l'expédition de nxlog serveur. J'ai aussi remarqué dans les docs que la valeur par défaut pour AllowUntrusted est faux, donc j'ai juste eu à le supprimer une fois que j'ai été heureux ssl a été de travail.
La création de la clé de l'AC, et le fixer comme ce doit être gardée secrète (cd /etc/pki/tls):
Et puis l'Auto Signé CA Cert, qui devra être transféré à vos clients:
Le cnf de fichier standard est seulement avec cette option modifié:
La logstash de méthode d'entrée:
Générer la clé privée:
Générer le CSR (Demande de Signature de Certificat):
Signer le Cert avec la clé privée de CA
De nouveau la seule partie importante sur les entrées standard pour le cnf fichier sera:
Je l'ai testé et ça marche bien, j'ai juste besoin d'obtenir les filtres mis en place maintenant
Le format de données binaire est nxlog spécifique, vous devez utiliser uniquement si vous envoyez à nxlog.
Si ce n'est pas de l'aide, consultez la logstash journaux car il est à l'extrémité distante (logstash) qui ferme la connexion.