Comment envoyer les logs Linux vers Graylog avec rsyslog ?

Florian BURNEL - ITConnect - 12/12
Dans ce tutoriel, nous allons apprendre à installer et à configurer Rsyslog sur Linux pour envoyer les journaux vers un serveur Graylog et les indexer.

Sommaire

  • I. Présentation
  • II. Configurer Graylog pour recevoir les logs Linux
    • A. Créer un Input pour Syslog
    • B. Créer un nouvel Index Linux
    • C. Créer un Stream
  • III. Installer et configurer Rsyslog sur Linux
    • A. Installer le paquet Rsyslog
    • B. Configurer Rsyslog
  • IV. Afficher les journaux Linux dans Graylog
  • V. Identifier un échec de connexion SSH
  • VI. Conclusion

I. Présentation

Dans ce tutoriel, nous allons apprendre à configurer une machine Linux pour qu'elle envoie ses journaux (logs) vers un serveur Graylog. Pour cela, on va procéder à l'installation et à la configuration de Rsyslog sur le système.

Pour suivre ce tutoriel, vous avez besoin d'un serveur Graylog et d'une machine sous Linux (Debian, Ubuntu, Rocky Linux, etc...). Pour rappel, dans un précédent article, nous avions appris à installer Graylog sur Debian :

  • Déployez Graylog sur Debian 12 pour centraliser et analyser vos logs facilement

L'installation de Graylog ne sera pas abordée dans ce tutoriel, mais nous verrons comment configurer notre puits de logs pour recevoir les journaux de machines Linux. Pour ma part, la machine qui doit envoyer ses logs sur Graylog est une machine nommée "srv-docker" sous Debian 12.

  • Cliquez ici pour regarder la vidéo sur YouTube

II. Configurer Graylog pour recevoir les logs Linux

Nous allons commencer par la configuration de Graylog. Il y a trois étapes à accomplir :

  • La création d'un Input pour créer un point d'entrée permettant aux machines Linux d'envoyer les journaux Syslog via UDP.
  • La création d'un nouvel Index pour stocker et indexer tous les journaux Linux.
  • La création d'un Stre...
    [Courte citation de 8% de l'article original]