Configurando cliente NXlog no Windows (para Graylog Server)

Publicado por Vinicius Barbosa em

Para que o servidor Graylog consiga coletar dados de eventos de logs dos servidores windows, os clientes terão que enviar essas informações através de um cliente de logs. Utilizaremos o cliente NXLog .

Caso você ainda não tenha um servidor Graylog, leia nosso post (disponível também nas referências, abaixo)

Configurar INPUTS no Graylog

Acessar System > Inputs

Selecionar o tipo de input (entrada) que deseja receber dados > Launch new input

Marcar: Global
Title: Adicionar um título
Bind: 0.0.0.0
Port: 3514
Receive Buffer Size: Não alterar

Mantenha os demais campos com as definições padrões.

Clicar em Save.

Instalando e configurando o cliente NXLog

Realizar download do nxlog cliente para servidores Windows:
https://nxlog.co/products/nxlog-community-edition/download

Após instalação, configure o arquivo nxlog.conf no diretório C:\Program Files (x86)\nxlog\conf com o seguinte conteúdo:

Panic Soft
#NoFreeOnExit TRUE

define ROOT     C:\Program Files (x86)\nxlog
define CERTDIR  %ROOT%\cert
define CONFDIR  %ROOT%\conf
define LOGDIR   %ROOT%\data
define LOGFILE  %LOGDIR%\nxlog.log
LogFile %LOGFILE%
Moduledir %ROOT%\modules
CacheDir  %ROOT%\data
Pidfile   %ROOT%\data\nxlog.pid
SpoolDir  %ROOT%\data
<Extension _syslog>
    Module      xm_syslog
</Extension>
<Extension _charconv>
    Module      xm_charconv
    AutodetectCharsets iso8859-2, utf-8, utf-16, utf-32
</Extension>
<Extension _exec>
    Module      xm_exec
</Extension>
<Extension _fileop>
    Module      xm_fileop

    # Check the size of our log file hourly, rotate if larger than 5MB
    <Schedule>
        Every   1 hour
        Exec    if (file_exists(‘%LOGFILE%’) and \
                   (file_size(‘%LOGFILE%’) >= 5M)) \
                    file_cycle(‘%LOGFILE%’, 8);
    </Schedule>
    # Rotate our log file every week on Sunday at midnight
    <Schedule>
        When    @weekly
        Exec    if file_exists(‘%LOGFILE%’) file_cycle(‘%LOGFILE%’, 8);
    </Schedule>
</Extension>
<Extension _gelf>
    Module      xm_gelf
</Extension>
<Input win>
    Module      im_msvistalog
            Query <QueryList> \
                        <Query Id=”0″>\
                                    <Select Path=”Security”>*[System[(EventID=’ID_DO_EVENTO‘)] #Substitua o ID_DO_EVENTO pelo evento a ser coletado do event viewer
</Select>\
                        </Query>\
            </QueryList>
</Input>
<Output graylog>
    Module      om_udp
    Host IP_DO_SERVIDOR_GRAYLOG
Port  3514
    OutputType   GELF
</Output>
<Route graylog_route>
            Path     win => graylog </Route>
</Route>

Inicie o serviço nxlog ou reinicie o servidor para que o serviço inicie junto ao sistema operacional.

Fontes/Referências

NVLAN – Instalação do GRAYLOG 3.0 em CentOS

Mais Informações

Esperamos ter ajudado da melhor forma possível e estaremos sempre a disposição para mais informações.

Entre em contato conosco pelo e-mail equipe@nvlan.com.br.

NVLAN - Consultoria
Categorias: Soluções Microsoft
Tags:

Posts relacionados

Soluções Microsoft

Executar backup e restore de bancos de dados MS SQL com o PowerShell

Fazer backup de banco de dados MS SQL com PowerShell é rápido e eficiente, permitindo a automação simples e repetitiva. Com apenas alguns comandos, é possível agendar e gerenciar backups de forma personalizada. Além disso, Leia mais…

Soluções Microsoft

Comando para verificar o status dos discos SSD

Recentemente precisamos verificar o status de alguns discos e nos deparamos com um post do PauloSantanna demonstrando um comando nativo do Windows para obter essa informação. Por ele usar comando wmic seria fácil adicionar essa Leia mais…

Soluções Microsoft

Instalar e atualizar aplicativos no Windows por linha de comando

O WinGet é uma ferramenta de linha de comando que permite instalar e atualizar aplicativos no seu Windows por linha de comando, agilizando tarefas de suporte e administração de ambientes. Apesar de possuir várias funcionalidades, Leia mais…