Centralisation des logs : installation de Graylog sur Debian

Florian BURNEL - ITConnect - 05/12

Dans ce tutoriel, nous allons apprendre à installer Graylog sur Debian pour avoir un puits de logs, et ainsi centraliser les journaux des machines du réseau.

Sommaire

I. Présentation
II. Prérequis
III. Installation pas à pas de Graylog
- A. Installation de MongoDB
- B. Installation d'OpenSearch
- C. Configurer Java (JVM)
- D. Installation de Graylog
- E. Graylog : créer un nouveau compte administrateur
IV. Conclusion

I. Présentation

Graylog est une solution open source de type "puits de logs" dont l'objectif est de permettre la centralisation, le stockage, et l'analyse en temps réel des journaux de vos machines et vos périphériques réseaux. Dans ce tutoriel, nous allons apprendre à installer Graylog, dans sa version gratuite, sur une machine Debian 12 !

Cliquez ici pour voir la vidéo sur YouTube

Au sein d'un système d'information, chaque serveur, qu'il soit sous Linux ou Windows, et chaque équipement réseau (switch, routeur, firewall, etc...) génère ses propres journaux, stockés en local. Les journaux étant stockés sur chaque machine en local, l'analyse et la corrélation des événements est très difficile... C'est là que Graylog intervient. Il va assurer la fonction de puits de logs, c'est-à-dire que toutes vos machines vont lui envoyer leurs logs (via syslog, par exemple). Graylog va ensuite stocker et indexer ces logs, tout en vous permettant d'effectuer des recherches globales et de créer des alertes.

Graylog est un outil d'analyse et de surveillance qui va vous permettre d'identifier plus facilement les comportements suspects et les problèmes divers et variés (stabilité, performance, etc...).

IT-Connect - L'importance de la centralisation des logs

Remarque : la version gratuite, Graylog Open, ne se présente pas comme un SIEM comme peut l'être Wazuh, notamment, car il manque de vraies fonctions de détection d'intrusion.

II. Prérequis

La stack Graylog s'appuie sur plusieurs composants que nous devrons installer et configurer. Ici, nous installerons tous les composants sur le même serveur, mais il est possible de créer des clusters basés sur plusieurs nœuds et de répartir les rôles sur plusieurs serveurs. Dans le cadre de ce tutoriel, nous installerons Graylog 6.1, soit la version la plus récente à ce jour.

MongoDB 6, qui est la version actuellement recommandée pour Graylog (minimum 5.0.7, maximum 7.x)
OpenSearch, qui est un fork open source de Elasticsearch créé par Amazon (minimum 1.1.x, maximum 2.15.x)
OpenJDK 17

Le serveur Graylog est sous Debian 12, mais l'installation est possible sur d'autres distributions, y co...
[Courte citation de 8% de l'article original]

Tags : cybersécurité - graylog - logs - linux -

Source et Copyright images et textes : Florian BURNEL - ITConnect
Lien original, consulter l'article dans son intégralité ici : https://www.it-connect.fr/tuto-graylog-sur-debian-centraliser-et-analyser-logs/
Lien direct sur notre site : http://www.newsexplorer.fr/article/23083571/Centralisation-des-logs---installation-de-Graylog-sur-Debian
Partager : Facebook - Twitter

Avis de non-responsabilité pour les articles et les traductions :
Les articles publiés sur ce site ont été rédigés par des auteurs externes et ne représentent pas l'avis ou les opinions de ce site. Les informations contenues dans ces articles sont fournies à titre indicatif et ne doivent pas être considérées comme des conseils professionnels ou juridiques.
De plus, les traductions proposées sur ce site peuvent ne pas être exactes ou complètes. Nous ne pouvons garantir l'exactitude, la fiabilité ou la pertinence de ces traductions et nous déclinons toute responsabilité pour toute perte ou préjudice causé par leur utilisation.
Nous recommandons à nos lecteurs de vérifier toutes les informations avant de prendre des décisions ou d'entreprendre des actions en se basant sur ces articles ou traductions. Nous ne serons pas tenus responsables des erreurs ou des omissions dans les informations fournies sur ce site.