开源日志管理系统Graylog之Sidecar功能实践

在之前搭建完GrayLog的基础上(参考之前的文章CentOS7下部署Graylog开源日志管理系统)

参考GrayLog官方帮助文档中关于sidecar的详细介绍动手实践验证sidecar日志采集功能

https://docs.graylog.org/en/3.3/pages/sidecar.html 

下面为详细步骤：（点击图片查看清晰大图）

1、添加Beats类型的Input

2、创建graylog-sidecar的token

3、先在Linux主机上安装sidecar客户端和filebeat

两种方式：

1)安装Graylog Sidecar存储库配置后yum install graylog-sidecar

rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-sidecar-repository-1-2.noarch.rpm
yum install graylog-sidecar

2)rpm -ivh 方式本地安装

https://github.com/Graylog2/collector-sidecar/releases 

这里下载sidecar的x86_64位版本的rpm包(同时也把windows版本也下载下来，后面介绍)

filebeat最新的安装包

https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.8.0-x86_64.rpm

rpm -ivh graylog-sidecar-1.0.2-1.x86_64.rpm 
rpm -ivh filebeat-7.8.0-x86_64.rpm

并修改配置文件

vi /etc/graylog/sidecar/sidecar.yml
1）#server_url: "http://127.0.0.1:9000/api/"
修改为http://192.168.31.80:9000/api/
2）server_api_token: "bavcp8u7sanaottr2lllg2ebogsn6brfgnifa76vm3ec8n64k50"
3）#node_name: ""改为node_name: "192.168.31.194_CentOS7"
4）取消#update_interval: 10的注释update_interval: 10
5）取消#send_status: true 的注释send_status: true

graylog-sidecar -service install
systemctl start graylog-sidecar

这时在sidecar总览界面看到192.168.31.194在线

4、配置采集规则

1）Sidecars Overview界面点击Configuration按钮

2）点击Create Configuration创建配置

Name自定义为CentOS7_collector_cfg

Configuration color挑选一个颜色

Collector选择为filebeat on Linux类型

Configuration配置文件修改

例如 paths: - /opt/nginx/*.log 也就是采集/opt/nginx/目录下.log结尾的日志

output.logstash: hosts: ["192.168.31.80:5044"] 发给192.168.31.80的5044端口，也就是之前创建的beats 5044接收端口

最后配置好之后，点Create保存配置

5、下发配置文件

先回到Sidecars Overview界面，点击Administration管理按钮，进行配置下发

6、验证日志采集是否生效

例如/opt/nginx目录下有日志产生

点击show messages 可以查询对应日志说明正常采集

7、windows版本的graylog-sidecar安装与配置

https://github.com/Graylog2/collector-sidecar/releases/download/1.0.2/graylog_sidecar_installer_1.0.2-1.exe

windows版本sidecar已经集成了filebeat和winlogbeat

1)安装graylog-sidecar

2)安装过程中配置相关参数

API URL http://192.168.31.80:9000/api

实例名 Win7_192.168.31.38

填入GrayLog的API token

3)完成安装

4)命令行注册服务，并启动服务

"C:\Program Files\graylog\sidecar\graylog-sidecar.exe" -service install
"C:\Program Files\graylog\sidecar\graylog-sidecar.exe" -service start

这时可以在服务里看到sidecar注册到系统服务中了

5)grayLog中也可以看到该windows主机上线了

6)这时可以创建一个windows filebeat类型的采集规则配置然后进行下发，具体步骤就不赘述了，见下面步骤截图 最后验证一下效果