3分钟教会你Graylog收集Windows主机日志

写 · 在 · 前 · 面
运维七点整，晚七点为大家提供运维相关资讯，在这里关注运维、关注新技术、关注中小企业运维痛点，结合多年的客户服务经验，跟大家一起交流分享在管理、应用、数据库、监控、安全、日志、自动化、成本控制等运维知识。

Graylog是一个开源的完整的日志管理工具，以往公司的Linux操作系统上，都带有rsyslog服务，我们可以使用syslog协议将系统日志发送值graylog上进行收集。但是一些Windows操作系统的主机无法使用syslog协议来发送日志，这里我们推荐使用graylog sidecar ！

Graylog Sidecar 是一个轻量级配置管理系统，适用于不同的日志收集器。Graylog节点充当包含日志收集器配置的集中式集线器。在支持的消息生成设备/主机上，Sidecar可以作为服务（Windows主机）或守护程序（Linux主机）运行。
日志收集器配置通过Graylog Web界面集中管理。Sidecar守护程序会定期使用REST API获取目标的所有相关配置。在第一次运行时，或者在检测到配置更改时，Sidecar将生成（呈现）相关的后端配置文件。然后它将启动或重新启动那些重新配置的日志收集器

下面具体详细介绍如何使用graylog日志平台来收集Windows系统日志：

1、首先，在Windows主机上下载安装sidecar软件

下载地址 ：https://github.com/Graylog2/collector-sidecar/releases


这里我们下载最新版 graylog_sidecar_installer_1.0.2-1 版本

2、在软件安装好运行前，我们需要先在graylog日志界面上创建sidecar的api token

第一步，日志平台上需添加inputs：
最后点击save保存！（注意：这边的port端口可自定义，切勿与graylog主机上其他服务端口冲突，且端口需对外开放，提前检查好防火墙或安全组）
第二步，进入sidecar - 创建windows的token
3、再次回到Windows主机上，将下载好的软件以管理员方式运行
这边的url请添加graylog的ip地址或域名，第二项名字可自定义，第三项填写graylog日志平台上创建的token，最终install下载即可

4、安装完成后，以管理员身份运行cmd配置windows sidecar的作为服务并启动

C:\Program Files\graylog\sidecar\graylog-sidecar.exe -service install
C:\Program Files\graylog\sidecar\graylog-sidecar.exe" -service start


然后检查服务状态，确认sidecar服务是否已经启动

5、回到graylog日志平台界面上配置sidecar
(注意，配置里主机ip填写graylog的ip地址，端口填写inputs设置的端口号)
保存后，回到Administrator，将windows主机关联对应的sidecar模版上
显示Running，说明已经运行正常，日志能够正常上传

6、最后，进入Overview，点击查看messages
如果在使用过程中遇到问题，可以在windows主机的C:\Program Files\Graylog\sidecar\logs 中查看sidecar客户端日志信息，方便排错哦

运维七点整

跳转公众号原文