Graylog 230428151211 bc25450d
Graylog 230428151211 bc25450d
Graylog 230428151211 bc25450d
Réalisé par :
Khachlouf yesmine
Ouhichi nessrine
Ben amor emna
01 Introduction
02 Installation et configuration
05 Graylog Https
06 Exemples d’attaques
07 Conclusion
2
Introduction
3
Introduction
logs
4
Introduction
Centralisation des logs
La centralisation des logs est une solution qui consiste à rassembler tous les logs
d’un groupe de machines sur la même plateforme. Toutes les informations des logs
deviennent ainsi accessibles via une interface unique, simple d’accès et
d’exploitation
5
Introduction
Centralisation des logs
La centralisation des logs est un processus continu qui se décompose en plusieurs étapes :
o La génération des logs : vous choisissez les logs à produire selon les objectifs et besoins
du projet.
o La collecte : les logs sont ensuite envoyés vers une plateforme commune. La transmission
est définie par des règles et réalisable avec des protocoles spécifiques.
o Le filtrage : vous analysez et filtrez les différentes metrics et variables pour répondre aux
besoins spécifiques du monitoring.
o La présentation des données : cette étape permet de créer des Dashboard
personnalisés regroupant les données synthétisées, pour permettre de lire et
comprendre les données des logs.
6
Introduction
Comparison des outils des logs
8
Introduction
Graylog
est une plate-forme de gestion log open source. Il permet de collecter, d'indexer et
d'analyser les logs dans un emplacement centralisé. Tous les messages sont stockés dans
une base de données MongoDB. Le serveur Graylog a été écrit en Java et accepte les logs
des systèmes via UDP ou TCP.
9
Introduction
Graylog
1.Graylog Server: reçoit et traite les messages et communique avec tous les autres
composants
10
Installation et configuration
11
Installation
o Docker
12
Installation
Conditions préalables
Graylog 4.3 requiert les éléments suivants pour maintenir la compatibilité avec ses dépendances
logicielles :
OpenJDK (17 ou 11 )
Elasticsearch 7.10.2 OU OpenSearch 2.x
MongoDB (5.x ou 6.x)
Déployez un serveur Ubuntu 20.04 entièrement mis à jour avec au moins 4 Go de RAM .
13
Installation
OpenJDK
14
Installation
Elasticsearch
• Installez Elasticsearch.
$ sudo apt -y install elasticsearch-oss
15
Configuration
Elasticsearch
16
Installation
MongoDB
17
Installation
Graylog
• Ajoutez le référentiel Graylog.
$ wget https://packages.graylog2.org/repo/packages/graylog-4.3-repository_latest.deb
• Installez Graylog.
18
Configuration
Graylog
Choisir un mot de passe fort pour votre compte administrateur et générez un hachage de 64
caractères. Par exemple:
19
Configuration
Graylog
20
Configuration
Graylog
21
Les agents du Graylog
22
Agent Graylog
est un agent autonome qui envoie des données de journal à Graylog Cloud
ou à un cluster Graylog Server sur site.
• Filebeat
• nxlog
• Filebeat
• Nxlog
• winlogbeat
23
Agent Graylog
Agent Windows Graylog
• créer un input
System > Input
24
Agent Graylog
Agent Windows Graylog
25
Agent Graylog
Agent Windows Graylog
26
Agent Graylog
Agent linux Graylog
Graylog Sidecar est un cadre de gestion de configuration agile pour divers collecteurs
de journaux appelés backends
27
Agent Graylog
Agent linux Graylog
$ wget https://packages.graylog2.org/repo/packages/graylog-sidecar-
repository_1-2_all.deb
$ sudo dpkg -i graylog-sidecar-repository_1-2_all.deb
$ sudo apt-get update && sudo apt-get install graylog-sidecar
Configurer votre entrée pour recevoir les journaux Windows Sidecar sur le
port 5044
29
Agent Graylog
Agent linux Graylog
• Configuration du side-car
30
Agent Graylog
Agent linux Graylog
31
Agent Graylog
Agent linux Graylog
Modifier fichier de configuration de sidecar
32
Agent Graylog
Agent linux Graylog
33
Agent Graylog
Agent linux Graylog
34
Agent Graylog
Agent linux Graylog
35
Agent Graylog
Agent linux Graylog
36
Autre méthode pour collecter les journaux sur linux
Rsyslog
Rsyslog est un logiciel libre utilisé sur des systèmes d'exploitation de type Unix transférant les
messages des journaux d'événements sur un réseau IP.
37
méthode pour collecter les journaux sur linux
sans agent
Rsyslog
Rsyslog est un logiciel libre utilisé sur des systèmes d'exploitation de type Unix transférant les
messages des journaux d'événements sur un réseau IP.
38
Les fonctionnalités du graylog
39
Les fonctionnalités du graylog
Search : tous les messages apparaissent ici, il est aussi possible d’en
rechercher spécifiquement
Streams : Permet de créer des flux, afin de filtrer les messages entrants, et donc
pouvoir ne donner les droits à un utilisateur que sur certains flux et non toute la
base, mais aussi créer des alertes, forwarder les messages entrants etc. C’est la
base pour la gestion des droits sur graylog.
Par exemple stream « create_user» :
40
Les fonctionnalités du graylog
Alerts : Permet de crée des alertes( par exemple envoi des notifications par
mail)
41
Les fonctionnalités du graylog
42
Les fonctionnalités du graylog
•Output : Permet de Forwarder(Transférer) des messages (d’un stream, etc.) vers un autre
nœud ou équipement, etc (nous n’y utiliserons pas).
•Collectors : Les graylog-collector (agent java léger développé par l’équipe graylog à installer sur
des OS utilisé pour transmettre les logs à graylog),
43
Les fonctionnalités du graylog
•Collectors : Les graylog-collector (agent java léger développé par l’équipe graylog à installer sur
des OS utilisé pour transmettre les logs à graylog),
44
Les fonctionnalités du graylog
45
Graylog https
46
Graylog https
Génération du certificat :
Vérifier que le certificat soit valide pour le nom DNS et pour l’adresse IP
#nano openssl-
graylog.cnf
47
Graylog https
Géneration du certificat
$ openssl req -x509 -days 365 -nodes -newkey rsa:2048 -config openssl-graylog.cnf -keyout
pkcs5-privatekey.pem -out graylog-certificate.pem
• Graylog ne prend en compte que les clés privées au format PKCS#8. Nous
allons convertir la clé privée en ce format :
48
Graylog https
Génération du certificat
# mkdir /etc/graylog/server/certificates
# mv graylog-* /etc/graylog/server/certificates/
49
Graylog https
50
Graylog https
51
Graylog https
52
Exemples d’attaques
53
Exemples d’attaques
o Attaque
54
Exemples d’attaques
55
Exemples d’attaques
56
Exemples d’attaques
57
Exemples d’attaques
58
Exemples d’attaques
59
Conclusion
• Graylog est donc un outil puissant est modulable , qui permet de s’adapter à beaucoup
d’équipements, et différents infrastructures
• Son interface est claire et rapide à utiliser , elle permet aussi de mettre en avant les informations
jugées importantes