Después del post anterior en el cual explicamos como instalar Graylog en Debian9.

Vamos a añadir los clientes a monitorizar, lo instalaremos tanto en una maquina Linux y en una maquina windows.

Linux

Para poder monitorizar vamos a instalar en cada una de las maquinas linux las cuales queramos monitorizar el paquete rsyslog apt install rsyslog

Una vez instalado el paquete procedemos a modificar fichero de configuración con la ip del servidor /etc/rsyslog.conf y detras de rules añadimo lo siguiente:

*.*     @[IP_SERVIDOR]:5140

Y reiniciamos el servicio systemctl restart rsyslog

Configuración en el servidor

Ahora en el servidor solo quedara configurar el fichero /etc/rsyslog.conf y añadimos la siguiente linea:

*.* @0.0.0.0:5140

Y reiniciamos el servicio systemctl restart rsyslog

Configuración panel de log básico

Para configurar el panel basico accedemos a nuestra web con graylog nos dirigimos a System - Inputs, seleccionamos Syslog UDP y seleccionamos la opcion Launch new input.

Seleccionamos un nodo y damos un titulo al Launch y como bind address dejamos por defecto 0.0.0.0, en el caso de que quieras monitorizar un solo equipo bastara con poner la ip de ese equipo.

Para realizar una prueba vamos a parar en la maquina linux el Servidor Web y paramos el servicio systemctl stop apache2

Actualizamos la pagina y podemos ver que ya se encuentra registrado:

Windows

El primer paso es descargar NXLog para windows

Una vez instalado vamos a modificar el fichero de configuración que se encuentra en C:\Program Files (x86)\nxlog\conf\nxlog.conf lo editamos para que quede asi:

## This is a sample configuration file. See the nxlog reference manual about the
## configuration options. It should be installed locally and is also available
## online at http://nxlog.org/docs/

## Please set the ROOT to the folder your nxlog was installed into,
## otherwise it will not start.

#define ROOT C:\Program Files\nxlog
define ROOT C:\Program Files (x86)\nxlog

Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data
LogFile %ROOT%\data\nxlog.log

#
#    Module      xm_syslog
#


    Module      xm_gelf



    Module      im_msvistalog
# For windows 2003 and earlier use the following:
#   Module      im_mseventlog



    Module      om_tcp
    Host        192.168.1.216
    Port        12201
    OutputType	GELF_TCP



    Path        in => out
Info! No nos dejara guardar el fichero en su ubicación original, se guarda por ejemplo en el escritorio y despues se copia a la carpeta orginal y se reemplaza.

E iniciamos el servicio el servicio:

Creacion de launch

Realizamos los mismo pasos que en el apartado anterior pero añadimos como GELF TCP

Y configuramos el launch:

Prueba funcionamiento

Para probar su funcionamiento en maquinas windows ejecutamos el siguiente comando en la shell

eventcreate /l APPLICATION /T INFORMATION /id 1 /D "Graylog ist cool"