This is an old revision of the document!
Graylog
Конфигурируем input
Чтобы сервер Graylog мог принимать коннекты от клиентов (sidecar) - необходимо сконфигурировать input.
Пример самого обычного инпута с типом beats без использования TLS, который будет слушать на TCP-порту 5044 (все порты в инпутах типа beats - TCP).
bind_address: 0.0.0.0 charset_name: UTF-8 no_beats_prefix: true number_worker_threads: 16 override_source: <empty> port: 5044 recv_buffer_size: 1048576 tcp_keepalive: false tls_cert_file: <empty> tls_client_auth: disabled tls_client_auth_cert_file: <empty> tls_enable: false tls_key_file: <empty> tls_key_password:********
Если разворачиваем в докере, то прописываем здесь адрес контейнера (либо 0.0.0.0), разумеется, а не хоста, в противном случае получим очевидное:
bind(..) failed: Cannot assign requested address
После конфигурирования input скорее всего не запустится сам, его нужно пнуть через кнопку Start input.
Мониторинг логов Windows
Если мы хотим добавить какой-либо конкретный лог Windows в нашу конфигурацию, сделать запрос об именах разделов логов Windows - нам поможет данный командлет, который выведет все имена логов Windows:
Get-WinEvent -ListLog * | Format-List -Property LogName
Если нам необходимо нечто более специфическое, можно воспользоваться средтвами фильтрации PowerShell. Получим, к примеру, все логи, содержащие “Exchange” в своем названии:
Get-WinEvent -ListLog * | Where-Object logname -like "*exchang*" | format-list -Property logname