Graylog – Pipelinesでアラートの除外項目を作成
- 2019.10.03
はじめに Graylogでアラートを飛ばしたいときに、この送信元やURLのときはアラートを飛ばさなくていいといった除外項目を使いたいときがあると思います。アラートの search query を使って除外していってもいいのですが、量が増えてくると1行で書くのは限界がきてしまいます。 そこで、Pipelines を使って 除外用の項目を作成することで、search queryがシンプルになります。 […]
Graylog
WindowsイベントログをGraylogにInputする
- 2019.07.06
Graylogは色んなログをどんどん取り込むことができるので、SIEMとして活用できそうです。試しに今回はWindowsのイベントログをGraylogに取り込んでみたいと思います。 やり方は色々あると思いますが、ここではPythonからGELFを使って取り込みます。 環境情報 Graylogサーバー ・CentOS7・Graylog v3.0.1 クライアント ・Windows10 or 7・Py […]
Graylogのアラート機能を使ってアラートメールを飛ばす
- 2019.07.04
Graylogからアラートメールを飛ばす場合、Alertを使用するわけですが、少しわかりにくいところがあります。そこで今回は、Graylog からアラートメールを飛ばす設定について説明します。 アラートの種類 Graylogのアラート機能は次のように3パターンの条件によって、アラートを発生させることができます。 Condition Type 内容 Field Content Alert Condi […]
Graylogのワイルドカード検索がうまく動作しない
- 2019.07.03
Graylogを使っていて検索が思った通りにできずに困ることってありませんか?その原因はここにあるかもしれません。 環境情報 Graylogサーバー ・CentOS7・Graylog v3.0.1 ワイルドカード検索の設定方法 Graylogの初期設定では、ワイルドカードの先頭検索が無効になっています。 なんでこんな設定になっているかというと過剰なメモリ消費を抑えるためのようです。といっても使いに […]
Elasticsearchの検索結果をgeohash gridで集計し地図にプロットする
- 2019.07.02
前回、Graylogのgeolocationをgeo_pointに変換したので、Elasticsearch内のgeolocationを有効活用できるようになりました。早速使ってみようと思います。 環境情報 Graylogサーバー ・CentOS7・Graylog v3.0.1・ElasticSearch 5.5.2-1 クライアント ・MacOS Mojave・Pytyhon3.6.8・jupyt […]
Graylogのgeolocationをgeo_pointに変更する
- 2019.06.27
GraylogからElasticsearchでGeoHash grid Aggrigation を取得しようとしたところ、Graylogによって作られた geolocation は Type が Keyword であることが分かりました。これでは、次のエラーが発生してしまいます。 これではいけないと、Graylogのgeolocationをgeo_pointに変更することにしました。その手順の覚書 […]