Windows服务器安装graylog-sidecar实现系统日志快速接入Graylog

1、Github上下载安装sidecar Windows版本安装包

https://github.com/Graylog2/collector-sidecar

2、创建sidecar的API token

Create or reuse a token for the graylog-sidecar user

3、创建Beats类型的Input

GrayLog后台在防火墙上放通Input对应端口

firewall-cmd --permanent --zone=public --add-port=5044/tcp
firewall-cmd --reload

4、Windows服务器安装sidecar

填写API TOken值和Graylog服务器的API接口URL 并注册成服务，然后重启

C:\Program Files\Graylog\sidecar\graylog-sidecar.exe -service install
C:\Program Files\Graylog\sidecar\graylog-sidecar.exe -service start

5、检查Sidercar客户端是否上线

6、采集器配置文件创建

Collectors Configuration

7、采集器管理

采集器配置文件应用到该采集器上

8、创建Stream

Rule为Match相应的Input

9、验证

例如触发mstsc远程登录的Windows系统日志，在Graylog上可以查询相应的系统登录日志

10、Tips

1）、采集应用型日志

当然你也可以创建filebeat类型的采集器配置，并应用到该Sidecar采集器上

这里就不在演示

2）、Inactive的Sidecar如果需要快速清理

调整这里的配置并重启graylog-server服务