Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Alaaeddine Tlich
Rapport de Projet de Fin d'Etudes.
Pour l’obtention du diplôme de Licence appliquée en Réseaux de l’Informatique Spécialité : Technologies de l’Informatique et de Télécommunication
Intitulé : Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Système et Réseau
Réalisé par : Alaadine Tlich & Nabil Kherfani
Au sein de : Hexabyte
wazuh est une solution open source d dd ffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff ggg ggg ggg gttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttt
Presentation Zabbix en Français du 6 Juin 2013Alain Ganuchaud
Vue d'ensemble des fonctionnalités Zabbix, plus particulièrement la version 2.0, présentée en Français par Alain Ganuchaud (CORE IT PROJECT) pour l'éditeur Zabbix SIA.
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Alaaeddine Tlich
Rapport de Projet de Fin d'Etudes.
Pour l’obtention du diplôme de Licence appliquée en Réseaux de l’Informatique Spécialité : Technologies de l’Informatique et de Télécommunication
Intitulé : Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Système et Réseau
Réalisé par : Alaadine Tlich & Nabil Kherfani
Au sein de : Hexabyte
wazuh est une solution open source d dd ffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff ggg ggg ggg gttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttttt
Presentation Zabbix en Français du 6 Juin 2013Alain Ganuchaud
Vue d'ensemble des fonctionnalités Zabbix, plus particulièrement la version 2.0, présentée en Français par Alain Ganuchaud (CORE IT PROJECT) pour l'éditeur Zabbix SIA.
Présentation de Zabbix, de son fonctionnement, de ses limitations et des bonnes pratiques à adopter, pour une utilisation dans le monitoring d'un réseau de PME.
Presentation in french of Zabbix, how it works, its limitations and some configuration best practices for monitoring a small company network.
Mise en place d'une solution de supervision Zabbix, configuration pour monitorer un serveur CentOS, un serveur Debian 10.6 et un serveur Windows 2019.
Mise en place de la notification par mail et de la recherche automatique de machine possédant l'agent.
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
Dans ce projet, on s’intéresse à la mise en place d’une solution de gestion de la sécurité du
réseau d’Afribone Mali. Une telle solution est composée d’un tableau de bord de sécurité du réseau,
d’une solution de gestion de logs centralisées et d’une équipe CIRT pour le pilotage de la solution.
Supervision de réseau informatique - NagiosAziz Rgd
L’installation de Nagios 3.5.0
Pré-requis
Avant de commencer l’installation de Nagios, on commence par mettre à jour le système:
# sudo apt-get update
# sudo apt-get upgrade
Il faut dans un premier temps installer le package « build-essential » qui comporte les librairies de développement de bases:
# sudo apt-get install build-essential
Nagios utilise une interface Web pour interagir avec les utilisateurs. Il faut donc installer un serveur Web sur notre serveur de supervision.
On va utiliser Apache (version 2):
# sudo apt-get install apache2 wget rrdtool bsd-mailx librrds-perl libapache2-mod-php5 php5 php-pear php5-gd php5-ldap php5-snmp libperl-dev
Certaine librairie sont également nécessaires au bon fonctionnement de Nagios et de ces plugins :
# sudo apt-get install bind9-host dnsutils libbind9-80 libdns81 libisc83 libisccc80 libisccfg82 liblwres80 libradius1 qstat radiusclient1 snmp snmpd
Pour tester votre serveur Web, il faut commencer par le lancer…
# sudo apache2ctl start
On test si apache fonctionne, pour cela, ouvrez votre navigateur Internet et entrez votre adresse IP. Dans mon cas c’est 10.0.0.15.
On installe les librairies qui serviront à Nagios pour afficher de beaux diagrammes réseau:
# sudo apt-get install libgd2-noxpm-dev libpng12-dev libjpeg62 libjpeg62-dev
On installe MySQL .
# sudo apt-get install mysql-server
# sudo apt-get install php5-mysql
# sudo apt-get install libmysqlclient15-dev
Pour des raisons de sécurité, le processus Nagios ne sera pas lancé en root. Nous allons donc créer un utilisateur système nagios et un groupe nagios.
# sudo /usr/sbin/useradd nagios
# sudo passwd nagios
# sudo /usr/sbin/groupadd nagios
# sudo /usr/sbin/usermod -G nagios nagios
# sudo /usr/sbin/usermod -G nagios www-data
Téléchargement de Nagios et des plugins Nagios
Avant d’installer Nagios, allez sur le site afin de télécharger la dernière version de Nagios et la dernière version des plugins Nagios.
Dans notre documentation, nous utiliserons Nagios 3.5.0 et plugins Nagios 1.4.16.
Ensuite, on télécharge ces versions sur notre serveur
# sudo cd /usr/src
# sudo wget http://surfnet.dl.sourceforge.net/sourceforge/nagios/nagios-3.5.0.tar.gz
# sudo wget http://kent.dl.sourceforge.net/sourceforge/nagiosplug/nagios-plugins-1.4.16.tar.gz
Compilation depuis les sources
On commence par décompresser les sources:
# sudo tar xzf nagios-3.5.0.tar.gz
# sudo cd nagios
Nous allons lancer la compilation grâce aux commandes suivantes:
# sudo ./configure --with-nagios-user=nagios --with-nagios-group=nagios --with-command-user=nagios --with-command-group=nagios --enable-event-broker --enable-nanosleep --enable-embedded-perl --with-perlcache
# sudo make all
# sudo make fullinstall
# sudo make install-config
On installe ensuite le script de démarrage (pour que Nagios se lance automatique)
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Salmen HITANA
Set up of a security test plan for residential gateways
Abstract: This work, done within the company "Sagemcom" is part of the project for obtaining Computer and Network Engineer Telecommunication National Graduation. The objective of this project is the establishment of a security testing solution for residential terminals. These terminals are the heart of any particular or professional network. Aware that the bridges are highly exposed to risks related to computer security, a test plan will cover possible scenarios and touch all functionality of the gateway (network access, WiFi, UPnP, VoIP, IHM). These tests will eventually be launched on a wide range of Sagemcom products to validate the proposed test environment.
Key Word: Gateway, Security, hacking, pentesting, vulnerability
Présentation de Zabbix, de son fonctionnement, de ses limitations et des bonnes pratiques à adopter, pour une utilisation dans le monitoring d'un réseau de PME.
Presentation in french of Zabbix, how it works, its limitations and some configuration best practices for monitoring a small company network.
Mise en place d'une solution de supervision Zabbix, configuration pour monitorer un serveur CentOS, un serveur Debian 10.6 et un serveur Windows 2019.
Mise en place de la notification par mail et de la recherche automatique de machine possédant l'agent.
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
Dans ce projet, on s’intéresse à la mise en place d’une solution de gestion de la sécurité du
réseau d’Afribone Mali. Une telle solution est composée d’un tableau de bord de sécurité du réseau,
d’une solution de gestion de logs centralisées et d’une équipe CIRT pour le pilotage de la solution.
Supervision de réseau informatique - NagiosAziz Rgd
L’installation de Nagios 3.5.0
Pré-requis
Avant de commencer l’installation de Nagios, on commence par mettre à jour le système:
# sudo apt-get update
# sudo apt-get upgrade
Il faut dans un premier temps installer le package « build-essential » qui comporte les librairies de développement de bases:
# sudo apt-get install build-essential
Nagios utilise une interface Web pour interagir avec les utilisateurs. Il faut donc installer un serveur Web sur notre serveur de supervision.
On va utiliser Apache (version 2):
# sudo apt-get install apache2 wget rrdtool bsd-mailx librrds-perl libapache2-mod-php5 php5 php-pear php5-gd php5-ldap php5-snmp libperl-dev
Certaine librairie sont également nécessaires au bon fonctionnement de Nagios et de ces plugins :
# sudo apt-get install bind9-host dnsutils libbind9-80 libdns81 libisc83 libisccc80 libisccfg82 liblwres80 libradius1 qstat radiusclient1 snmp snmpd
Pour tester votre serveur Web, il faut commencer par le lancer…
# sudo apache2ctl start
On test si apache fonctionne, pour cela, ouvrez votre navigateur Internet et entrez votre adresse IP. Dans mon cas c’est 10.0.0.15.
On installe les librairies qui serviront à Nagios pour afficher de beaux diagrammes réseau:
# sudo apt-get install libgd2-noxpm-dev libpng12-dev libjpeg62 libjpeg62-dev
On installe MySQL .
# sudo apt-get install mysql-server
# sudo apt-get install php5-mysql
# sudo apt-get install libmysqlclient15-dev
Pour des raisons de sécurité, le processus Nagios ne sera pas lancé en root. Nous allons donc créer un utilisateur système nagios et un groupe nagios.
# sudo /usr/sbin/useradd nagios
# sudo passwd nagios
# sudo /usr/sbin/groupadd nagios
# sudo /usr/sbin/usermod -G nagios nagios
# sudo /usr/sbin/usermod -G nagios www-data
Téléchargement de Nagios et des plugins Nagios
Avant d’installer Nagios, allez sur le site afin de télécharger la dernière version de Nagios et la dernière version des plugins Nagios.
Dans notre documentation, nous utiliserons Nagios 3.5.0 et plugins Nagios 1.4.16.
Ensuite, on télécharge ces versions sur notre serveur
# sudo cd /usr/src
# sudo wget http://surfnet.dl.sourceforge.net/sourceforge/nagios/nagios-3.5.0.tar.gz
# sudo wget http://kent.dl.sourceforge.net/sourceforge/nagiosplug/nagios-plugins-1.4.16.tar.gz
Compilation depuis les sources
On commence par décompresser les sources:
# sudo tar xzf nagios-3.5.0.tar.gz
# sudo cd nagios
Nous allons lancer la compilation grâce aux commandes suivantes:
# sudo ./configure --with-nagios-user=nagios --with-nagios-group=nagios --with-command-user=nagios --with-command-group=nagios --enable-event-broker --enable-nanosleep --enable-embedded-perl --with-perlcache
# sudo make all
# sudo make fullinstall
# sudo make install-config
On installe ensuite le script de démarrage (pour que Nagios se lance automatique)
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Salmen HITANA
Set up of a security test plan for residential gateways
Abstract: This work, done within the company "Sagemcom" is part of the project for obtaining Computer and Network Engineer Telecommunication National Graduation. The objective of this project is the establishment of a security testing solution for residential terminals. These terminals are the heart of any particular or professional network. Aware that the bridges are highly exposed to risks related to computer security, a test plan will cover possible scenarios and touch all functionality of the gateway (network access, WiFi, UPnP, VoIP, IHM). These tests will eventually be launched on a wide range of Sagemcom products to validate the proposed test environment.
Key Word: Gateway, Security, hacking, pentesting, vulnerability
Alphorm.com Formation Splunk : Maitriser les fondamentauxAlphorm
Splunk fait partie des solutions les plus prisés dans le monde de l’analyse de logs. Cette dernière permet de faire parler ses logs et d’en faire sortir des informations décisionnelles quel que soit le domaine d’application.
Mais concrètement c’est quoi des logs ?
Les logs représentent simplement un horodatage et une donnée d’état, entre autre des traces et chacun va pour interpréter ces derniers comme le souhaite selon son expérience, ses compétences et son angle d’analyse.
Il faut savoir que c’est extrêmement difficile d’arriver de manière native à voir l’image en grand, quel que soit le domaine : cybersécurité, troublshooting, Business Intelligence …
Splunk est une solution multi usage pour l'analyse de logs appliqué à la business intelligence, supervision, cybersécurité (proactif)
La nécessité d'une prise de décision intelligente est l'une des exigences les plus importantes pour l'analyse des journaux. C'est pourquoi Splunk est la solution parfaite pour votre entreprise. Avec ce logiciel, vous pourrez analyser vos logs, les comprendre et prendre des décisions en fonction de leurs données.
Cette formation présente deux options
• Option 1 : Vous pouvez effectuer le lab sur votre machine locale via les machines virtuelles transmises par le formateur
• Option 2 : Vous pouvez accéder à notre pour avoir accès à un lab prêt à l’emplois dans le cloud depuis votre navigateur ou via le protocole RDP pour effectuer les manipulations de cette formation mais aussi avoir un accès à des exercices plus poussés afin de vous entrainer et perfectionner vos compétences sur Splunk.
Pour plus d’informations vous pouvez visiter : https://splunk.alphorm.com
Le présent document décrit les différentes étapes d’installation et de configuration des différents outils utilisés notamment Eclipse, est suit l’organisation suivante :
• 1ere partie :
Dans cette première partie vous trouverez les différentes étapes d’installation – à suivre - des différents outils nécessaires au bon fonctionnement d’Openbravo.
• 2eme partie :
Dans cette deuxième partie vous trouverez la configuration détaillée de l’IDE Eclipse pour assurer une bonne intégration du code.
Présentation effectuée au Meetup 24 Programmez (5 Avril 2022) par Christophe Villeneuve sur "Infrastructure as code Drupal".
Cette présentation aborde les rappels de l'IaC (infrastructure as code), comment l'utilisé avec le CMS Drupal et déployé automatiquement le contenu et les évolutions dans l'IaC.
Comment, dans le cadre de la migration vers Google Cloud Platform, MeilleursAgents a revu ses techniques de déploiements d'applications Python pour garantir des releases fiables, testables et reproductibles.
Vous êtes étudiant en dernière année d'étude, orienté(e) Informatique ou Finance ? NeoXam Tunisia vous accorde l'opportunité d'effectuer votre stage de Projet de Fin d'Etudes au sein de ses équipes.
Ci dessous le détail des offres !
Le panel-GZW est une solution destinée à l’hébergement de sites internet sur des plates-formes de type Unix/Linux. Actuellement les environnements non-Unix (Microsoft) ne sont pas compatibles.
Cette solution a été conçue au tour de cinq points majeurs :
- Un code source ouvert.
- Une solution gratuite.
- Une simplicité tant côté serveur que côté interface.
- Une indépendance du serveur vis à vis de notre solution.
- Une modularité en fournissant la possibilité de développer aisément des modules.
En utilisant cette solution, l’hébergé pourra facilement gérer son hébergement web en utilisant toute une liste de modules tels que :
- La gestion des utilisateurs FTP.
- La gestion des emails.
- La gestion des domaines.
- La gestion des tâches planifiées.
- La gestion des bases de données SQL.
Pour ce qui est de l’administrateur système, ce dernier pourra gérer de manière très simple les actions suivantes :
- L’activation/désactivation des modules.
- Les quotas.
- Les membres présents sur la plate-forme.
- Les comptes FTP.
- Les bases de données SQL.
- Les boîtes email, les redirections email.
- Les tâches planifiées.
- Les pré-installations.
5. 5
Introduction
Centralisation des logs
La centralisation des logs est une solution qui consiste à rassembler tous les logs
d’un groupe de machines sur la même plateforme. Toutes les informations des logs
deviennent ainsi accessibles via une interface unique, simple d’accès et
d’exploitation
6. 6
Introduction
Centralisation des logs
La centralisation des logs est un processus continu qui se décompose en plusieurs étapes :
o La génération des logs : vous choisissez les logs à produire selon les objectifs et besoins
du projet.
o La collecte : les logs sont ensuite envoyés vers une plateforme commune. La transmission
est définie par des règles et réalisable avec des protocoles spécifiques.
o Le filtrage : vous analysez et filtrez les différentes metrics et variables pour répondre aux
besoins spécifiques du monitoring.
o La présentation des données : cette étape permet de créer des Dashboard
personnalisés regroupant les données synthétisées, pour permettre de lire et
comprendre les données des logs.
7. 7
Introduction
Comparison des outils des logs
installation Très simple
d’installation : creation
d’un compte et
récupération du fichier
d’installation sur le site
officiel de Splunk.
L’installation est plus
complexe que Splunk
mais reste relativement
simple grâce à la
documentation en ligne.
Installation similaire à ELK
configuration Configuration simple qui
se fait depuis l’interface
Web (configuration de
port d’écoute, ajout de
données…)
Configuration plus
complexe car il faut
configurer Logstash (il
faut donc maîtriser un
minimum de langages
de script)
Configuration simple et
similaire à Splunk car ellese
fait là aussi depuis l’interface
web.
Recherche
Simple pour une
utilisation basique. Il
suffit de taper le mot
clérecherché pour qu’il
s’affiche en
surbrillance.
Simple également pour
une basique utilisation.
Similaire à Splunk
Utilisation basique
simple, similaire à Splunk
et ELK
8. 8
Introduction
Comparison des outils des logs
Tableau de bord
(Dashboard
Dashboard non interactif.
Barre de recherche et
temps non disponible par
défaut. Il faut configurer
les dashboards pour les
rendre compatibles avec
les visualisations
Dashboard interactif
par défaut. Barre de
recherche et barre de
temps toujours
disponibles.
Dashboard facile à créer
et à modifier mais ces
deux aspects ne sont pas
interactifs et la barre de
recherche / temps n’est
pas disponible ; Point
faible de Graylog.
alertes Nécessite la version «
Splunk Enterprise ».
Nécessite le « X-Pack » et
donc la souscription à un
abonnement.
Alertes disponibles
gratuitement. Point fort de
Graylog.
Identification
et gestion des
utilisateurs
Nécessite la version «
Splunk Enterprise » pour
créer des utilisateurs et
gérer leurs droits.
Gestion des utilisateurs
disponible gratuitement.
Nécessite « X-Pack » pour
bénéficier de la fonction
d’identification et la
gestion des utilisateurs
9. 9
Graylog
Introduction
est une plate-forme de gestion log open source. Il permet de collecter, d'indexer et
d'analyser les logs dans un emplacement centralisé. Tous les messages sont stockés dans
une base de données MongoDB. Le serveur Graylog a été écrit en Java et accepte les logs
des systèmes via UDP ou TCP.
10. 10
Graylog
Introduction
Graylog a quatre composants principaux:
1.Graylog Server: reçoit et traite les messages et communique avec tous les autres
composants
2.Elasticsearch: gére l'indexation et la recherche de données.
1.MongoDB: stocke les métadonnées et ne subit pas beaucoup de charge.
2.Interface Web: l'interface utilisateur.
12. 12
Installation
Graylog peut être installé de différentes manières:
o Paquets de système d'exploitation
o Installation d'Ubuntu
o Installation de Debian
o Installation de CentOS
o Installation SLES
o Docker
13. 13
Installation
Graylog 4.3 requiert les éléments suivants pour maintenir la compatibilité avec ses dépendances
logicielles :
OpenJDK (17 ou 11 )
Elasticsearch 7.10.2 OU OpenSearch 2.x
MongoDB (5.x ou 6.x)
Déployez un serveur Ubuntu 20.04 entièrement mis à jour avec au moins 4 Go de RAM .
Conditions préalables
17. 17
Installation
MongoDB
• Activez le service MongoDB pour qu'il démarre au démarrage du système:
• Installez le serveur MongoDB:
$ sudo apt install mongodb-server -y
$ sudo systemctl enable mongodb
• Démarrez le service MongoDB:
$ sudo systemctl start mongodb
19. 19
Configuration
Graylog
Choisir un mot de passe fort pour votre compte administrateur et générez un hachage de 64
caractères. Par exemple:
$ echo -n StrongPassword | sha256sum
Modifier le fichier de configuration Graylog: nano /etc/graylog/server/server.conf
21. 21
Configuration
Graylog
Redémarrez le démon système.
$ sudo systemctl daemon-reload
Redémarrez le service Graylog.
$ sudo systemctl restart graylog-server
Activez le service Graylog pour qu'il s'exécute au démarrage du
système.
$ sudo systemctl enable graylog-server
23. 23
Agent Graylog
est un agent autonome qui envoie des données de journal à Graylog Cloud
ou à un cluster Graylog Server sur site.
AGENT LINUX GRAYLOG
• Filebeat
• nxlog
AGENT WINDOWS GRAYLOG
• Filebeat
• Nxlog
• winlogbeat
24. Agent Windows Graylog
24
Agent Graylog
• Téléchargez l'agent NXlog pour Windows à partir
de https://nxlog.co/products/nxlog-community-edition/download
• Installer l'agent NXlog
• créer un input
System > Input
27. Agent linux Graylog
27
Agent Graylog
Graylog Sidecar est un cadre de gestion de configuration agile pour divers collecteurs
de journaux appelés backends
28. Agent linux Graylog
28
Agent Graylog
• Installer la configuration du référentiel Graylog Sidecar et Graylog Sidecar lui-
même avec les commandes suivantes :
$ wget https://packages.graylog2.org/repo/packages/graylog-sidecar-
repository_1-2_all.deb
$ sudo dpkg -i graylog-sidecar-repository_1-2_all.deb
$ sudo apt-get update && sudo apt-get install graylog-sidecar
• Modifier la configuration (voir Configuration ) et activez le Sidecar en tant
que service système :
$ vi /etc/graylog/sidecar/sidecar.yml
$ sudo graylog-sidecar -service install
$ sudo start graylog-sidecar
$ sudo systemctl enable graylog-sidecar
$ sudo systemctl start graylog-sidecar
29. Agent linux Graylog
29
Agent Graylog
Configurer votre entrée pour recevoir les journaux Windows Sidecar sur le
port 5044
30. Agent linux Graylog
30
Agent Graylog
• Installation des collecteurs sous linux par exemple filebeat
• Configuration du side-car
37. Autre méthode pour collecter les journaux sur linux
37
Rsyslog
Rsyslog est un logiciel libre utilisé sur des systèmes d'exploitation de type Unix transférant les
messages des journaux d'événements sur un réseau IP.
• Modifier fichier de configuration Rsyslog
38. méthode pour collecter les journaux sur linux
sans agent
38
Rsyslog
Rsyslog est un logiciel libre utilisé sur des systèmes d'exploitation de type Unix transférant les
messages des journaux d'événements sur un réseau IP.
• Modifier fichier de configuration Rsyslog
40. 40
Les fonctionnalités du graylog
Search : tous les messages apparaissent ici, il est aussi possible d’en
rechercher spécifiquement
Streams : Permet de créer des flux, afin de filtrer les messages entrants, et donc
pouvoir ne donner les droits à un utilisateur que sur certains flux et non toute la
base, mais aussi créer des alertes, forwarder les messages entrants etc. C’est la
base pour la gestion des droits sur graylog.
Par exemple stream « create_user» :
41. 41
Les fonctionnalités du graylog
Alerts : Permet de crée des alertes( par exemple envoi des notifications par
mail)
42. 42
Les fonctionnalités du graylog
Dasboard : Pages d’accueils en widget permettant d’afficher des résumés
d’informations sur un Stream, ou une recherche. On peut aussi donner les
droits à un utilisateur que sur certains dashboard.
43. 43
Les fonctionnalités du graylog
Sources : Vue d’ensemble des sources des messages entrants.
•Overview : vue d’ensemble de l’état du système.
•Nodes : affiche l’état du cluster graylog et des nœuds le composant.
•Inputs : permet d’ouvrir des flux en acceptant les messages entrants suivant certains
protocoles/ports.
•Output : Permet de Forwarder(Transférer) des messages (d’un stream, etc.) vers un autre
nœud ou équipement, etc (nous n’y utiliserons pas).
•Collectors : Les graylog-collector (agent java léger développé par l’équipe graylog à installer sur
des OS utilisé pour transmettre les logs à graylog),
44. 44
Les fonctionnalités du graylog
•Collectors : Les graylog-collector (agent java léger développé par l’équipe graylog à installer sur
des OS utilisé pour transmettre les logs à graylog),
45. 45
Les fonctionnalités du graylog
•Logging : configure la politique de journalisation des activités du système graylog.
•Users : permet de gérer les utilisateurs/droits.
47. 47
Graylog https
sécuriser l’installation Graylog à l'aide de SSL/TLS pour vous assurer
qu'aucune donnée sensible n'est envoyée sur le réseau en texte brut
Génération du certificat :
#nano openssl-
graylog.cnf
Vérifier que le certificat soit valide pour le nom DNS et pour l’adresse IP
48. 48
Graylog https
$ openssl req -x509 -days 365 -nodes -newkey rsa:2048 -config openssl-graylog.cnf -keyout
pkcs5-privatekey.pem -out graylog-certificate.pem
• Génération du certificat au format x.509 et la clé privé au format
PKSC#5 :
Géneration du certificat
$ openssl pkcs8 -in pkcs5-privatekey.pem -topk8 -nocrypt -out graylog-
privatekey.pem (permet de convertir la clé privée sans protection par mot de passe)
• Graylog ne prend en compte que les clés privées au format PKCS#8. Nous
allons convertir la clé privée en ce format :
49. 49
Graylog https
• créer un dossier “certificates” dans le répertoire de Graylog afin que
Graylog puisse lire les certificats sans avoir de problèmes :
Génération du certificat
• déplacer les certificats dans le nouveau dossier :
# mkdir /etc/graylog/server/certificates
# mv graylog-* /etc/graylog/server/certificates/
51. 51
Graylog https
• importer notre certificat dans le java keystore :
Si on s’arrête là notre Graylog fonctionnera bien en HTTPS. Cependant les
composants comme les Inputs, Pipelines (API) etc… eux ne fonctionneront pas.
# keytool -importcert -keystore /usr/lib/jvm/java-17openjdk-17 . 252.b09-
2.el7_8.x86_64/jre/lib/security/cacerts -alias graylog-selfsigned-certificate -file
/etc/graylog/server/certificates/graylog-certificate.pem
# systemctl restart graylog-server
60. Conclusion
• Graylog est donc un outil puissant est modulable , qui permet de s’adapter à beaucoup
d’équipements, et différents infrastructures
• Son interface est claire et rapide à utiliser , elle permet aussi de mettre en avant les informations
jugées importantes