Содержание

nxlog

Файлы с пакетами можно скачать с http://nxlog.org/products/nxlog-community-edition/download или с http://sourceforge.net/projects/nxlog-ce/files/

http://nxlog-ce.sourceforge.net/nxlog-docs/en/nxlog-reference-manual.html

Настройка

Сервер

Для правильной загрузки логов в mysql, сервер необходимо привести к utf8

Windows

Отправка логов с Windows машин:

conf

conf 

##define ROOT C:\Program Files\nxlog
define ROOT C:\Program Files (x86)\nxlog

<Extension json>
    Module	xm_json
</Extension>
 
<Extension charconv>
    Module      xm_charconv
    AutodetectCharsets utf-8, cp1251
</Extension>

Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data
LogFile %ROOT%\data\nxlog.log

define CERTDIR %ROOT%\cert

<Input in>
    ##для Windows XP/2000/2003:
    ##Module      im_mseventlog
    ##или для Windows 2008/Vista и выше:
    Module      im_msvistalog
</Input>

<Output tcp>
    Module      om_tcp
    Host        192.168.10.161
    Port        11514
    Exec	to_json();
</Output>

<Route send>
    Path        in => tcp
</Route>


Отправка лога IIS в graylog:

conf

conf 

define ROOT C:\Program Files (x86)\nxlog
 
Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data
LogFile %ROOT%\data\nxlog.log
 
<Extension gelf>
    Module         xm_gelf
</Extension>

#<Extension fileop>
#	Module 		xm_fileop
#</Extension>
 
<Extension json>
    Module      xm_json
</Extension>
 
<Extension w3c_parser>
    Module          xm_csv
    Fields          date, time, s-ip, cs-method, cs-uri-stem, cs-uri-query, \
                    s-port, cs-username, c-ip, cs-user-Agent, cs-referer, \
                    sc-status, sc-substatus, sc-win32-status, time-taken
    FieldTypes      string, string, string, string, string, string, integer, \
                    string, string, string, string, integer, integer, integer, \
                    integer
    Delimiter       ' '
    EscapeChar      '"'
    QuoteChar       '"'
    EscapeControl   FALSE
    UndefValue      -
</Extension>

<Input iis>
    Module          im_file
    File            'C:\inetpub\logs\LogFiles\\*.log'
    <Exec>
        if $raw_event =~ /^#/ drop();
        else
        {
            w3c_parser->parse_csv();
            $EventTime = parsedate($date + "T" + $time + ".000Z");

        }
    </Exec>
</Input>
 
<Output graylog>
    Module      om_udp
    Host        graylogtest.domain.com
    Port        12201
    OutputType    GELF
	
	#debug (uncomment the fileop extension)
	#Exec file_write("C:\\Program Files (x86)\\nxlog\\data\\nxlog_output.log", $raw_event);
</Output>

<Route iis-to-graylog>
    Path        iis => graylog
</Route>

https://nxlog.co/documentation/nxlog-user-guide/iis.html

Linux

Отправка логов linux машин, конфиг для rsyslog с шифрованием /etc/rsyslog.d/01-Net.conf: 

#Шифрование 
$DefaultNetstreamDriver gtls
$DefaultNetstreamDriverCAFile /etc/ssl/rsyslog/ca.pem
$DefaultNetstreamDriverCertFile /etc/ssl/rsyslog/linux-cert.pem
$DefaultNetstreamDriverKeyFile /etc/ssl/rsyslog/linux-key.pem
$ActionSendStreamDriverAuthMode anon
$ActionSendStreamDriverMode 1
#Отправляем на syslog сервер на tcp порт
*.* @@192.168.10.161:12514