Académique Documents
Professionnel Documents
Culture Documents
GRAYLOG
Installation d’un service de gestion de journaux d’événements
Boudry Cyril BTS SIO 2 ème année
05/04/2019 Année Scolaire : 2017 / 2019
Option : SISR Version 1
Compétences Validées SO3, A1.3.4
1
Boudry Cyril BTS SIO 2 ème année
05/04/2019 Année Scolaire : 2017 / 2019
Option : SISR Version 1
Compétences Validées SO3, A1.3.4
1) Prérequis
Pour réaliser cette procédure, les prérequis suivants sont nécessaires :
graylog 192.168.43.122
Graylog 3.0
MongoDB 4.0
Elasticsearch 6
2) Définition
3) Installation
Pour fonctionner il faut installer des prérequis et dépendances nécessaires. Il s’agit tout d’abord de
package additionnels :
$ apt install openjdk-8-jre-headless uuid-runtime pwgen dirmngr
MongoDB
Graylog requiert également l’installation de MongoDB. On utilise le dépôt officiel pour son
installation
2
Boudry Cyril BTS SIO 2 ème année
05/04/2019 Année Scolaire : 2017 / 2019
Option : SISR Version 1
Compétences Validées SO3, A1.3.4
Elasticsearch
On démarre Elasticsearch
$ systemctl daemon-reload
$ systemctl enable elasticsearch.service
$ systemctl restart elasticsearch.service
Graylog
On va utiliser pwgen pour générer le mot de passe et la commande sed pour directement l’injecter
dans la configuration de Graylog
3
Boudry Cyril BTS SIO 2 ème année
05/04/2019 Année Scolaire : 2017 / 2019
Option : SISR Version 1
Compétences Validées SO3, A1.3.4
On va maintenant créer le mot de passe pour l’utilisateur root avec la commande suivante :
Remplacez bien-sûr « MOTDEPASSE » par votre mot de passe.
sudo sed -i -e "s/root_password_sha2 =.*/root_password_sha2 = $(echo -n MOTDEPASSE | shasum -a 256 | cut -d' ' -
f1)/" /etc/graylog/server/server.conf
On redémarre le service
$ systemctl daemon-reload
$ systemctl enable graylog-server.service
$ systemctl restart graylog-server.service
Après quelques minutes, vous avez accès à l’interface web de graylog sur http://@IP:9000
4
Boudry Cyril BTS SIO 2 ème année
05/04/2019 Année Scolaire : 2017 / 2019
Option : SISR Version 1
Compétences Validées SO3, A1.3.4
pour recevoir des données, nous devons configurer un Input qui écoutera sur le port 514 (port
Syslog par défaut). Pour cela cliquez sur System, puis sur Inputs.
Java n’a pas le droit d’écoute sur les ports entre 0 et 1023 pour des raisons de sécurités. On peut
bien évidemment modifier le port Syslog mais tous les routeurs ne peuvent pas être configurés de
cette manière.
On va donc taper la commande suivante qui permet de donner à Java le droit d’écouter sur les ports
réservés au système.
Pour autoriser Java à écouter sur le port 514 (installer le paquet libcap2-bin)
Retournons sur notre interface Graylog, puis sélectionnez dans la liste déroulante « Syslog UDP ».
Cliquez ensuite sur Launch new input.
5
Boudry Cyril BTS SIO 2 ème année
05/04/2019 Année Scolaire : 2017 / 2019
Option : SISR Version 1
Compétences Validées SO3, A1.3.4
Donnez le titre de votre choix dans le champ Title, indiquez le port 514 puis cliquez sur Save
5) Conclusion
Le serveur de log est installé et fonctionnel. Il suffira de rajouter les élèments du réseau que l’on veut
surveiller.