Comment envoyer les logs Windows vers Graylog avec NXLog ?

Florian BURNEL - ITConnect - 09/12

Dans ce tutoriel, nous allons apprendre à installer et à configurer NXLog sur Windows Server pour envoyer les logs vers un serveur Graylog.

Sommaire

I. Présentation
II. Créer un input NXLog dans Graylog
III. Installer et configurer NXLog sur Windows
- A. Installer NXLog sur Windows Server
- B. Configurer NXLog pour Graylog
- C. Affiner les règles de collecte de NXLog
IV. Recevoir les journaux Windows dans Graylog
V. Déployer NXLog sur Windows avec une GPO
- A. Le répertoire nxlog.d
- B. Les sources d'installation
- C. Le script PowerShell pour installer NXLog
- D. Créer la GPO pour NXLog
- E. Tester la configuration
VI. Conclusion

I. Présentation

Dans ce tutoriel, nous allons apprendre à installer et à configurer NXLog sur Windows Server, de façon à envoyer les journaux de Windows vers un serveur Graylog. Ainsi, les journaux stockés dans l'Observateur d'événements de plusieurs machines Windows pourront être stocké et indexé dans Graylog.

Cliquez ici pour voir la vidéo sur YouTube

Pour suivre ce tutoriel, vous avez besoin d'un serveur Graylog et d'une machine sous Windows Server (ou Windows). Pour rappel, dans un précédent article, nous avions appris à installer Graylog sur Debian :

Déployez Graylog sur Debian 12 pour centraliser et analyser vos logs facilement

Par défaut, Windows n'est pas capable d'envoyer ses journaux vers un serveur Graylog (ou équivalent) puisque les fonctions de transferts de journaux sont très limitées. Pour répondre à cette problématique, nous allons utiliser l'agent NXLog dans sa version communautaire. Il va permettre de capturer les journaux sur la machine Windows afin de les router vers le serveur Graylog.

II. Créer un input NXLog dans Graylog

La première étape consiste à créer un nouvel "Input" dans la configuration de Graylog, car les données sont reçues de cette façon. À partir de l'interface web de Graylog, cliquez sur le menu "Système" puis sur "Inputs". Ensuite, sélectionnez "GELF UDP" dans la liste, puis cliquez sur "Launch new input".

Note : GELF (Graylog Extended Log Format) correspond au format de log de Graylog et ils seront transmis via le protocole UDP.

Une fenêtre apparaît à l'écran... Vous devez configurer ce nouvel Input. Vous pouvez utiliser un Input par typologie de machines : un Input peut être utilisé par plusieurs machines Windows. Nommez cet Input, par exemple "Graylog_UDP_NXLogs_Windows", et indiquez "0.0.0.0" comme "Bind address" pour qu'il soit accessible sur toutes les interfaces de l'hôte...
[Courte citation de 8% de l'article original]

Tags : graylog - logs - windows - cybersécurité - système -

Source et Copyright images et textes : Florian BURNEL - ITConnect
Lien original, consulter l'article dans son intégralité ici : https://www.it-connect.fr/envoyer-les-logs-windows-vers-graylog-avec-nxlog/
Lien direct sur notre site : http://www.newsexplorer.fr/article/23178511/Comment-envoyer-les-logs-Windows-vers-Graylog-avec-NXLog--
Partager : Facebook - Twitter

Avis de non-responsabilité pour les articles et les traductions :
Les articles publiés sur ce site ont été rédigés par des auteurs externes et ne représentent pas l'avis ou les opinions de ce site. Les informations contenues dans ces articles sont fournies à titre indicatif et ne doivent pas être considérées comme des conseils professionnels ou juridiques.
De plus, les traductions proposées sur ce site peuvent ne pas être exactes ou complètes. Nous ne pouvons garantir l'exactitude, la fiabilité ou la pertinence de ces traductions et nous déclinons toute responsabilité pour toute perte ou préjudice causé par leur utilisation.
Nous recommandons à nos lecteurs de vérifier toutes les informations avant de prendre des décisions ou d'entreprendre des actions en se basant sur ces articles ou traductions. Nous ne serons pas tenus responsables des erreurs ou des omissions dans les informations fournies sur ce site.