CENTRALISATION DES LOGS

Infrastructure Graylog

Mise en place d'un serveur de centralisation des journaux (Syslog) pour assurer la traçabilité des événements et faciliter l'audit de sécurité.

Flux de Données Recherche
01

Pourquoi Graylog ?

Dans un parc informatique hétérogène, consulter les logs machine par machine est impossible en cas d'incident de sécurité. J'ai déployé Graylog pour agréger tous les journaux (Windows Events, Syslog Linux, Firewall) en un point unique.

Centralisation via rsyslog et NXLog
Indexation avec OpenSearch/Elasticsearch
Conservation légale des traces
Interface Web Graylog
(onglet "Search") avec logs entrants
02

Architecture & Collecte

Collecte Windows (Sidecar & NXLog)

Pour les serveurs Windows (AD, Fichiers), j'utilise l'agent Graylog Sidecar qui pilote NXLog. Il filtre les événements critiques (ex: ID 4624 Logins, ID 4740 Compte verrouillé) et les envoie au serveur.

<Input> im_msvistalog
Query <QueryList>...<Select Path="Security">*[System[(Level=1 or Level=2)]]</Select>...</QueryList>

Streams & Pipelines

J'ai configuré des Streams pour séparer les logs "Sécurité", "Système" et "Applications". Cela permet d'appliquer des règles de rétention différentes et de créer des alertes spécifiques.

Liste des Streams configurés
(ex: "Windows Security Logs")

Collecte Linux (rsyslog)

Les serveurs Linux envoient leurs logs via rsyslog en UDP/TCP vers Graylog. Configuration simple et fiable pour les logs système et applicatifs.

# /etc/rsyslog.conf
*.* @graylog.mairie.local:514
03

Dashboards & Alertes

Tableaux de Bord

Visualisation en temps réel des événements critiques.

Échecs de connexion
Comptes verrouillés
Alertes sécurité

Alerting

Notifications automatiques par email.

Email SMTP
Agrégation 5 min
Filtres personnalisés
Retour aux compétences