今天在想怎麼把netflow的資料吐到graylog上
這樣就可以很方便快速的查找了
發現本來就有plugin可以用
安裝的方式也很簡單
把.jar檔下載後直接放到 plugin的目錄
/opt/graylog/plugin
再來重啟graylog 這樣才會把plugin呼叫進來
sudo graylog-ctl restart
再來就會在input裡多了一個netflow的選項可以用
設定好
接下來再設定switch把netflow的封包吐過來就可以了
注意目前只能收v5
2017/04/27
2017/04/20
今天中午左右
忽然一堆服務都失效
本來以為是机器當机
想不到情況更糟糕
raid card死了
第一個想法就是把昨天晚上備份回復到另一台proxmox
當recover 做完後才想到
在正常的机器上應該有出問題那台的所有guest config
所以應該是把config 移過來
然後直接boot就好了
這樣也不會loss晚上到中午這段時間的資料
路徑在
/etc/pve/nodes/proxmox159/qemu-server
^^^^^^^^^^^
出問題的主机名稱
在正常的机器上下指令
mv /etc/pve/nodes/proxmox159/qemu-server/* /etc/pve/qemu-server/
之後再從管理介面或下指令boot即可
操作時有可能會出現
TASK ERROR: cluster not ready – no quorum?
或無法mv的情況
因為節點之間網路的斷線,集叢中節點數量低於2時,集叢就會被鎖住
此時要下指令
pvecm expected 1
讓集叢改為只期待1個節點正常運作
這樣就可以操作了
http://blog.pulipuli.info/2014/08/proxmox-ve-fix-proxmox-ve-cluster-not.html
忽然一堆服務都失效
本來以為是机器當机
想不到情況更糟糕
raid card死了
第一個想法就是把昨天晚上備份回復到另一台proxmox
當recover 做完後才想到
在正常的机器上應該有出問題那台的所有guest config
所以應該是把config 移過來
然後直接boot就好了
這樣也不會loss晚上到中午這段時間的資料
路徑在
/etc/pve/nodes/proxmox159/qemu-server
^^^^^^^^^^^
出問題的主机名稱
在正常的机器上下指令
mv /etc/pve/nodes/proxmox159/qemu-server/* /etc/pve/qemu-server/
之後再從管理介面或下指令boot即可
操作時有可能會出現
TASK ERROR: cluster not ready – no quorum?
或無法mv的情況
因為節點之間網路的斷線,集叢中節點數量低於2時,集叢就會被鎖住
此時要下指令
pvecm expected 1
讓集叢改為只期待1個節點正常運作
這樣就可以操作了
http://blog.pulipuli.info/2014/08/proxmox-ve-fix-proxmox-ve-cluster-not.html
2017/04/07
之前發過一篇文章是利用擷圖的方式來設定graylog的alert
新錄了一段影片 應該會再清楚一些
記得要先修改graylog.conf 有關mail的地方
設定後可以使用 nc 來進行測試
echo "abc"|nc -w 1 -u 10.10.10.10 514
在搜尋畫面就會看到以下的訊息
接下來在alert的分頁就會出現以下的訊息 並收到mail
http://adminkk.blogspot.tw/2017/03/graylog2-announcesplunk-httpswww.html
新錄了一段影片 應該會再清楚一些
記得要先修改graylog.conf 有關mail的地方
設定後可以使用 nc 來進行測試
echo "abc"|nc -w 1 -u 10.10.10.10 514
在搜尋畫面就會看到以下的訊息
接下來在alert的分頁就會出現以下的訊息 並收到mail
http://adminkk.blogspot.tw/2017/03/graylog2-announcesplunk-httpswww.html
2017/04/05
今天早上登入graylog時出現了通知訊息
有新版
立馬進行更新
可是更新完出現几個問題
一個是 elasticsearch 的message出現暴量
導致graylog預設的Disk Journal (1G)也爆了 所以到config先調大為5G 等消化完再看看要不要調回來
第二個問題是forti的log几乎全部不見了
這很奇怪
之前的几次更新並沒有出現這個問題
找了一下官方的blog看到從這一版開始直接支援fortiget的log
而且在少數出現的log裡也看到欄位被辨認出來
這個不錯 雖然很吃資源
但卻只有出現少數几條log
畫面右上的 in/out message也一直有值
用tcpdump去捉封包也沒問題
看來應該是syslog4j有bug了
只能先試一下進forti改一下丟log的方式
先把log調到之前有開的tcp port
可是並沒有出現
於是再syslog上再開另一個udp port
再改一下forti的設定
終於可以了
先醬用吧
2017/04/03
graylog支援利用ip在地圖上顯示的功能
記錄一下要使用之前所需的config
1. 首先要下載geoip的data 因為用ova安裝的graylog 預設並沒有提供這個檔案
http://geolite.maxmind.com/download/geoip/database/GeoLite2-City.mmdb.gz
解開後放在/etc/graylog/server/
重啟graylog
此時再搜尋 就會在搜尋結果看到多出有關Geo的結果
在搜尋畫面的左方
點下World map 之後就會在搜尋畫面上方出珼地圖
http://docs.graylog.org/en/2.2/pages/geolocation.html#configure-message-processor
http://docs.graylog.org/en/2.2/pages/extractors.html#
https://dev.maxmind.com/geoip/geoip2/geolite2/
記錄一下要使用之前所需的config
1. 首先要下載geoip的data 因為用ova安裝的graylog 預設並沒有提供這個檔案
http://geolite.maxmind.com/download/geoip/database/GeoLite2-City.mmdb.gz
解開後放在/etc/graylog/server/
2. 在管理介面上 system - configurations
調整Message Processors Configuration
把 GeoIP Resolver的順序調到最下面
3. 搜尋一筆滿足要求的資料來create Extractors 使用 Grok pattern
依照所需的條件進行處理 如下範例
srcip=%{IP:srcip}
此時再搜尋 就會在搜尋結果看到多出有關Geo的結果
在搜尋畫面的左方
點下World map 之後就會在搜尋畫面上方出珼地圖
http://docs.graylog.org/en/2.2/pages/geolocation.html#configure-message-processor
http://docs.graylog.org/en/2.2/pages/extractors.html#
https://dev.maxmind.com/geoip/geoip2/geolite2/
訂閱:
文章 (Atom)