VertualBoxにgraylogをインストールし、rsyslogの受信設定をする

graylog rsyslog Ubuntu VirtualBox

VirtualboxにGlaylogをインストール
OVAダウンロードサイト
https://packages.graylog2.org/appliances/ova

VirtualBoxへのインストール操作
→ ファイルー仮想アプライアンスのインポートーDLしたovaを選択

VirtualBoxでのネットワーク設定
→ アダプター1をNATネットワーク、アダプター2をホストオンリーアダプターに設定

□ 固定IPの設定
Ubuntuのバージョン確認
# /etc/os-release
→ 14.04

□ 固定IPの設定を書き込む
# vi /etc/network/interface
→ 以下を記述
# The primary network interface
auto eth1
iface eth1 inet static
address 192.168.56.102
netmask 255.255.255.0
network 192.168.56.0
broadcast 192.168.56.255
dns-nameservers 8.8.8.8
gateway 10.0.2.0
# iface eth0 inet dhcp
           ※gatewayの値は「ip route show」コマンドで表示される「default via」の値
→ 保存してOSを再起動
※ /etc/init.d/networking restart だと反映されない

□ rsyslogの受信設定
□ 設定ファイルの場所
/etc/rsyslog.d/50-default.conf

□ rsyslogでログを受信する設定
→ TCP10514ポートでログメッセージを受け取る設定
/etc/rsyslog.d/50-default.confに以下を記述
# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 10514
→ logを/var/remotelog/rsyslog/送信元IPアドレス/年月日.logに出力する設定
参考サイト
https://genchan.net/it/server/4127/
/etc/rsyslog.d/50-default.conf最下部に以下を記載
#### TEMPLATES ####
$template RemoteHostLog,"/var/remotelog/rsyslog/%fromhost-ip%/%$year%%$month%%$day%.log"
→ 受信側のrsyslogの設定で「snort」のログだけ受け取る
→ /etc/rsyslog.d/50-default.conf最下部に以下を記述
:programname, isequal, "snort" ?RemoteHostLog
& ~
programname:ログを出力したプログラム名
?RemoteHostLog:設定したtemplate名「RemoteHostLog」の形式でログを出力
→ rsyslogを再起動
# service rsyslog restart

□ ログを受け取るディレクトリを作成しておく
※ 受取先が/var/logではないため
# mkdir /var/remotelog
chown root:syslog /var/remotelog
chmod 775 /var/remotelog

□ ログ受信のためのポート設定
□ firewalldのインストール
# apt-get install firewalld
□ firewalldに登録されているサービスの確認
# firewall-cmd --list-all --permanent
→ servicesの欄を確認
(もしくは、firewall-cmd --list-services --zone=public)
□ firewalldに登録可能なサービスの確認
firewall-cmd --get-services
→ http, https, ftpがあることを確認
□ firewalldにサービスを追加する
# firewall-cmd --zone=public --add-service=http --permanent
# firewall-cmd --zone=public --add-service=https --permanent
# firewall-cmd --zone=public --add-service=ftp --permanent
□ ポート10514を開放する
# firewall-cmd --add-port=10514/tcp --zone=public --permanent
(--permanent:恒久的な反映)
# firewall-cmd --reload
→ 設定を確認する
# firewall-cmd --list-all
portsに10514/tcpの記述があればOK
□ firewalldの自動起動設定
→ インストールしただけで自動起動した

□ rsyslogの送信設定
送信側サーバに、rsyslogの送信設定を書き込む
# vi /etc/rsyslog.conf
*.* @@192.168.56.104:10514
rsyslogを再起動する
# service rsyslog restart

□ rsyslogバージョン確認
# rsyslogd -v
rsyslogd 7.4.4