Como enviar logs de um servidor Linux para o Graylog usando Syslog (Guia Completo)
Centralizar logs é essencial para monitorar servidores, identificar problemas rapidamente e manter a infraestrutura organizada. Uma das ferramentas mais usadas para isso é o Graylog, que permite coletar, analisar e visualizar logs de diversos dispositivos.
Neste tutorial você aprenderá como enviar logs de um servidor Linux para o Graylog usando Syslog, que é o método mais simples e rápido de implementar.
1. Criando um Input Syslog no Graylog
Primeiro precisamos configurar o Graylog para receber os logs.
Passo 1: Acessar o painel do Graylog
Abra o navegador e acesse o painel web do Graylog.
Exemplo:
http://IP_DO_SERVIDOR_GRAYLOG:9000Passo 2: Criar o Input
No menu do Graylog vá em:
System → InputsAgora procure por uma das opções:
Syslog UDP
Syslog TCP
Clique em:
Launch new inputExemplo de configuração
Preencha os campos da seguinte forma:
Title: Linux Syslog
Port: 5140
Bind address: 0.0.0.0Depois clique em:
Launch InputAgora o Graylog já está pronto para receber logs.
após instale o rsyslog
# apt -y install gnupg gnupg2 curl wget rsyslog
2. Configurando o Linux para enviar logs
Agora precisamos configurar o servidor Linux para enviar os logs para o Graylog.
O serviço responsável pelos logs no Linux normalmente é o rsyslog.
Arquivo de configuração
Você pode editar um dos arquivos:
/etc/rsyslog.confou criar um arquivo novo:
/etc/rsyslog.d/graylog.confAdicione a seguinte linha:
*.* @IP_DO_GRAYLOG:5140Exemplo
*.* @192.168.0.10:5140Isso fará com que todos os logs do servidor sejam enviados para o Graylog.
Usando TCP (opcional)
Se quiser usar TCP ao invés de UDP:
*.* @@192.168.0.10:51403. Reiniciar o serviço de logs
Após alterar a configuração, reinicie o rsyslog:
sudo systemctl restart rsyslog4. Testar o envio de logs
Para verificar se está funcionando, execute o comando abaixo no servidor Linux:
logger "teste graylog"Se tudo estiver correto, o log aparecerá no Graylog em:
Search5. Principais logs que o Graylog pode coletar
Alguns dos logs mais importantes do Linux incluem:
/var/log/syslog
/var/log/auth.log
/var/log/messages
/var/log/kern.log
/var/log/secureEsses logs contêm informações importantes como:
autenticação de usuários
erros do sistema
atividades do kernel
serviços do sistema
6. Liberar a porta no firewall
Se o servidor Graylog tiver firewall ativo, será necessário liberar a porta.
Para UDP
sudo ufw allow 5140/udpPara TCP
sudo ufw allow 5140/tcp7. Método profissional (usado em grandes ambientes)
Em ambientes maiores, o método mais recomendado é usar:
Graylog Sidecar
Filebeat
Vantagens
✔ coleta qualquer arquivo de log
✔ melhor desempenho
✔ logs estruturados
✔ gerenciamento centralizado
8. Exemplo usando Filebeat
Instalar
sudo apt install filebeatConfigurar
Arquivo:
/etc/filebeat/filebeat.ymlAdicionar saída para o Graylog:
output.logstash:
hosts: ["IP_GRAYLOG:5044"]9. Arquitetura comum usada em provedores
A arquitetura geralmente funciona assim:
SERVIDORES LINUX
│
│ syslog / filebeat
│
▼
GRAYLOG INPUT
│
▼
GRAYLOG
│
▼
ELASTICSEARCHAssim todos os logs ficam centralizados e podem ser pesquisados rapidamente.
Dica para ambientes de monitoramento
Se você utiliza ferramentas como:
Zabbix
Grafana
Graylog
é possível centralizar logs de diversos equipamentos como:
MikroTik
Ubuntu
Proxmox
OLT
Firewalls
servidores Linux
Tudo em um único painel de análise.
Conclusão
Enviar logs de servidores Linux para o Graylog usando Syslog é uma solução simples e rápida para centralizar informações importantes do sistema. Com poucos passos você já consegue visualizar eventos, detectar erros e melhorar o monitoramento da sua infraestrutura.
Se quiser aprender mais, veja também:
Como enviar logs do MikroTik para o Graylog
Como detectar quedas de PPPoE usando logs
Como enviar alertas do Graylog para WhatsApp
0 Comentários