Graylog2 est une solution open-source de gestion de logs. Chaque message est enregistré dans une base de donnée Elasticsearch et une interface web vous permet de gérer et analyser vos logs.
- Prérequis à l'installation
apt update && apt upgrade
apt install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen sudo
- Installation de MongoDB
apt-get update
apt-get install -y mongodb
- Installation d' Elasticsearch
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list
apt update && apt install elasticsearch
Assurez-vous de modifier le fichier de configuration Elasticsearch (/etc/elasticsearch/elasticsearch.yml) et définissez le nom du cluster sur graylog.
De plus, vous devez décommenter (supprimer le # comme premier caractère) à la ligne:
cluster.name: graylog
Après avoir modifié la configuration, vous pouvez démarrer Elasticsearch:
systemctl daemon-reload
systemctl enable elasticsearch.service
systemctl restart elasticsearch.service
- Installation de Graylog
Maintenant, installez la configuration du dépôt Graylog et Graylog lui-même avec les commandes suivantes:
wget https://packages.graylog2.org/repo/packages/graylog-2.4-repository_latest.deb
dpkg -i graylog-2.4-repository_latest.deb
apt update && apt install graylog-server
systemctl enable graylog-server.service
systemctl start graylog-server.service
Editez le fichier de configuration de graylog:
nano /etc/graylog/server/server.conf
Renseignez les lignes suivantes:
# Entrez le secretpassword (12 caractere minimum)
password_secret = passwordpassword
# L'utilisateur par defaut
root_username = admin
# Creez le mdp avec par example: echo -n yourpassword | shasum -a 256
# Example avec passwordpassword
root_password_sha2 = 2e2b24f8ee40bb847fe85bb23336a39ef5948e6b49d897419ced68766b16967a
# The email address of the root user.
# Default is empty
root_email = "email@domain.tld"
# Pour l'acces
rest_listen_uri = http://ip.ip.ip.ip:9000/api/
web_listen_uri = http://ip.ip.ip.ip:9000/
Redemarrage de Graylog:
/etc/init.d/graylog-server restart
La suite bientôt ....
[Mémo NXLOG]
syntax du fichier "nxlog.conf" pour windows.
## This is a sample configuration file. See the nxlog reference manual about the
## configuration options. It should be installed locally and is also available
## online at http://nxlog.org/docs/
## Please set the ROOT to the folder your nxlog was installed into,
## otherwise it will not start.
#define ROOT C:Program Filesnxlog
define ROOT C:Program Files (x86)nxlog
Moduledir %ROOT%modules
CacheDir %ROOT%data
Pidfile %ROOT%datanxlog.pid
SpoolDir %ROOT%data
LogFile %ROOT%datanxlog.log
<Extension gelf>
Module xm_gelf
</Extension>
<Extension syslog>
Module xm_syslog
</Extension>
<Input in>
Module im_msvistalog
Query <QueryList>
<Query Id="0">
<Select Path="Windows PowerShell">*</Select>
</Query>
</QueryList>
# For windows 2003 and earlier use the following:
# Module im_mseventlog
</Input>
<Input inlog>
Module im_file
File 'C:zabbix_agentd.log' #Put the file to be tailed here.
SavePos TRUE
InputType LineBased
</Input>
<Output out>
Module om_udp
Host ip.ip.ip.ip
Port 12201
OutputType GELF_UDP
</Output>
<Output outlog>
Module om_udp
Host ip.ip.ip.ip
Port 8514
</Output>
<Route 1>
Path in => out
</Route>
<Route 2>
Path inlog => outlog
</Route>