À l'aide de nxlog de navire se connecte à logstash à partir de Windows à l'aide de om_ssl

J'ai été en regardant les options d'expédier les logs de Windows, j'ai déjà eu logstash mis en place, et je suis actuellement navire journaux à partir de Linux (CentOS) les serveurs de mon ELK pile à l'aide de la logstash-transitaire et le cryptage ssl.

Pour des raisons de conformité de chiffrement est assez essentiel dans cet environnement.

J'espérais utiliser logstash-redirecteur de Windows, mais après la compilation à Aller, j'ai couru dans des problèmes de livraison de Journaux d'Événements, et j'ai trouvé des gens en disant que ce n'était pas possible en raison de problèmes de verrouillage de fichier, ce qui le logstash-redirecteur de gens semblent être de travail, mais je ne peux vraiment pas attendre.

De toute façon, finalement, j'ai trouvé que nxlog semble être en mesure d'expédier les journaux dans un format crypté à l'aide de ssl, j'ai trouvé un quelques postes sur similaire sujets et pendant que j'y ai appris pas mal sur la façon d'expédier les journaux de partout, et la façon de nxlog, je suis toujours à une perte avec comment configurer logstash à accepter les journaux afin que je puisse les traiter.

J'ai demandé à la #nxlog et #logstash canaux irc, et a obtenu une certaine confirmation dans #nxlog que c'est possible, pas plus d'informations sur la façon dont il doit être configuré.

De toute façon, j'ai pris le crt fichier créé pour l'utiliser avec mon logstash-transitaire (je vais en créer une nouvelle si besoin, quand je suis heureux que cela fonctionne) et l'a renommé avec un pem extension, qui je crois devrait fonctionner comme il est lisible en format ASCII. J'ai créé la variable d'environnement pour l' %CERTDIR% et de mettre mon fichier, j'ai rédigé dans un fichier de config pour nxlog des autres articles que j'ai lus, je pense que c'est juste, mais je ne suis pas sûr à 100%:

## This is a sample configuration file. See the nxlog reference manual about the
## configuration options. It should be installed locally and is also available
## online at http://nxlog.org/nxlog-docs/en/nxlog-reference-manual.html

## Please set the ROOT to the folder your nxlog was installed into,
## otherwise it will not start.

#define ROOT C:\Program Files\nxlog
define ROOT C:\Program Files (x86)\nxlog

Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data
LogFile %ROOT%\data\nxlog.log

# Enable json extension
<Extension json>
    Module xm_json
</Extension>

# Nxlog internal logs
<Input internal>
    Module im_internal
    Exec $EventReceivedTime = integer($EventReceivedTime) /1000000; to_json();
</Input>

# Windows Event Log
<Input eventlog>
  # Uncomment im_msvistalog for Windows Vista/2008 and later
    Module im_msvistalog
  # Uncomment im_mseventlog for Windows XP/2000/2003
  # Module im_mseventlog
    Exec $EventReceivedTime = integer($EventReceivedTime) /1000000; to_json();
</Input>

<Output sslout>
    Module          om_ssl
    Host            lumberjack.domain.com
    Port            5000
    CertFile        %CERTDIR%/logstash-forwarder.crt
    AllowUntrusted  TRUE
    OutputType      Binary
</Output>

<Route 1>
    Path     eventlog, internal => sslout
</Route>

Ce que je veux savoir est ce que le format d'entrée à utiliser dans logstash j'ai essayé d'expédition connecte à un bûcheron type d'entrée (en utilisant la même config que mon logstash-transitaires) avec la configuration suivante:

input {
  lumberjack {
    port => 5000
    type => "logs"
    ssl_certificate => "/etc/pki/tls/certs/logstash-forwarder.crt"
    ssl_key => "/etc/pki/tls/private/logstash-forwarder.key"
  }
}

Mais lorsque le service a commencé, j'ai d'obtenir les éléments suivants dans le nxlog fichiers de log:

2014-11-06 21:16:20 INFO connecting to lumberjack.domain.com:5000
2014-11-06 21:16:20 INFO nxlog-ce-2.8.1248 started
2014-11-06 21:16:21 INFO successfully connected to lumberjack.domain.com:5000
2014-11-06 21:16:22 INFO remote closed SSL socket
2014-11-06 21:16:22 INFO reconnecting in 1 seconds
2014-11-06 21:16:23 INFO connecting to lumberjack.domain.com:5000
2014-11-06 21:16:24 INFO reconnecting in 2 seconds
2014-11-06 21:16:24 ERROR couldn't connect to ssl socket on lumberjack.antmarketing.com:5000; No connection could be made because the target machine actively refused it.

Quand j'ai tourné la journalisation jusqu'à DEBUG, je vois une énorme quantité de grumes de voler à travers, mais je pense que la clé de la partie est:

2014-11-06 21:20:18 ERROR Exception was caused by "rv" at om_ssl.c:532/io_err_handler(); [om_ssl.c:532/io_err_handler()] -; [om_ssl.c:501/om_ssl_connect()] couldn't connect to ssl socket on lumberjack.domain.com:5000; No connection could be made because the target machine actively refused it.

Je suppose que c'points pour moi, l'utilisation de la mauvaise méthode de saisie sur logstash, mais je suppose que cela pourrait être aussi un problème avec mon ssl cert, ou la façon dont il est configuré. Je ne semble pas être tous les journaux sur le logstash server générée au moment je fais la connexion de ma machine Windows.

InformationsquelleAutor Rumbles | 2014-11-06
  1. 3

    Grâce à b0ti pour l'aider, il y avait un certain nombre de questions, mon logstash config a été s'écraser le service, mais j'ai aussi eu des problèmes avec mon nxlog de l'installation ainsi que mes ssl cert, mise en place dans le bon sens.

    J'ai trouvé cette post sur la création de ssl cert, qui couvre la façon dont ils sont vraiment bien pour les auto-signé certs pour une utilisation en tant que service web.

    La principale chose de mal avec nxlog était comme b0ti souligné j'essayais de navire en binaire lorsque cela ne fonctionne que lors de l'expédition de nxlog serveur. J'ai aussi remarqué dans les docs que la valeur par défaut pour AllowUntrusted est faux, donc j'ai juste eu à le supprimer une fois que j'ai été heureux ssl a été de travail.

    <Output sslout>
    Module          om_ssl
    Host            lumberjack.domain.com
    Port            5001
    CAFile          %CERTDIR%\nxlog-ca.crt
    OutputType      LineBased
</Output>

    La création de la clé de l'AC, et le fixer comme ce doit être gardée secrète (cd /etc/pki/tls):

    certtool --generate-privkey --bits 2048 --outfile private/nxlog-ca.key
chown logstash:logstash private/nxlog-ca.key
chmod 600 private/nxlog-ca.key

    Et puis l'Auto Signé CA Cert, qui devra être transféré à vos clients:

    certtool --generate-self-signed --load-privkey private/nxlog-ca.key --bits 2048 --template nxlog-ca-rules.cnf --outfile certs/nxlog-ca.crt

    Le cnf de fichier standard est seulement avec cette option modifié:

    # Whether this is a CA certificate or not
ca

    La logstash de méthode d'entrée:

    input {
  tcp {
    port => 5001
    type => "nxlogs"
    ssl_cacert => "/etc/pki/tls/certs/nxlog-ca.crt"
    ssl_cert => "/etc/pki/tls/certs/nxlog.crt"
    ssl_key => "/etc/pki/tls/private/nxlog.key"
    ssl_enable => true
    format => 'json'
  }
}

    Générer la clé privée:

    certtool --generate-privkey --bits 2048 --outfile private/nxlog.key
chown logstash:logstash private private/nxlog.key
chmod 600 private/nxlog.key

    Générer le CSR (Demande de Signature de Certificat):

    certtool --generate-request --bits 2048 --load-privkey private/nxlog.key --outfile private/nxlog.csr

    Signer le Cert avec la clé privée de CA

    certtool --generate-certificate --bits 2048 --load-request private/nxlog.csr --outfile certs/nxlog.crt --load-ca-certificate certs/nxlog-ca.crt --load-ca-privkey private/nxlog-ca.key --template nxlog-rules.cnf

    De nouveau la seule partie importante sur les entrées standard pour le cnf fichier sera:

    # Whether this certificate will be used to encrypt data (needed
# in TLS RSA ciphersuites). Note that it is preferred to use different
# keys for encryption and signing.
encryption_key

# Whether this certificate will be used for a TLS client
tls_www_client

    Je l'ai testé et ça marche bien, j'ai juste besoin d'obtenir les filtres mis en place maintenant

    InformationsquelleAutor Rumbles
  2. 1

    Le format de données binaire est nxlog spécifique, vous devez utiliser uniquement si vous envoyez à nxlog.

    OutputType      Binary

    Si ce n'est pas de l'aide, consultez la logstash journaux car il est à l'extrémité distante (logstash) qui ferme la connexion.

    • Merci, cela m'a aidé un peu, j'ai découvert que certains de mes config a été s'écraser logstash, mais même quand je me logstash stable avec ma méthode de saisie je ne peux toujours pas obtenir une connexion cryptée à travailler. J'ai essayé différentes manières de générer des clés, mais ne pas avoir un peu de chance, pouvez-vous confirmer la façon dont vous devriez générer les clés s'il vous plaît?
    InformationsquelleAutor b0ti