Journalisation

Centralisation logs Graylog / Syslog

Collecte et analyse des logs pour améliorer la traçabilité et la sécurité.

Objectifs Captures
01

Contexte du projet

Avec plusieurs serveurs et équipements réseau, la centralisation des logs devenait indispensable pour diagnostiquer rapidement les incidents et assurer un suivi de sécurité. Graylog a été retenu pour sa capacité d'indexation et de recherche.

Cadre : Graylog + OpenSearch/MongoDB, collecte Syslog et GELF.

Outils et technologies

Graylog OpenSearch MongoDB Syslog rsyslog NXLog

Livrables

Streams Pipelines Dashboards Alertes
02

Objectifs du projet

Centraliser les logs système et applicatifs.
Normaliser le parsing pour faciliter la recherche.
Créer des alertes sur événements critiques.
Réduire le temps de diagnostic des incidents.
03

Architecture et schémas

Graylog centralise les événements via des inputs Syslog/GELF. OpenSearch stocke les indices, MongoDB gère la configuration. Les serveurs Linux envoient leurs journaux via rsyslog, et les hôtes Windows via NXLog.

Graylog + OpenSearch + MongoDB
Inputs Syslog/GELF + Streams
Schéma Graylog
Flux de logs
04

Étapes d'implémentation

Installation de Graylog, OpenSearch et MongoDB.
Création des inputs Syslog et GELF.
Configuration des collecteurs rsyslog/NXLog.
Création de streams, extracteurs et pipelines.
Mise en place de dashboards et d'alertes.
05

Difficultés rencontrées

Parsing incomplet des logs Windows.
Volume de logs élevé sur certains hôtes.
06

Solutions appliquées

Passage sur GELF + extracteurs JSON pour les logs Windows.
Optimisation de la rétention et création d'index dédiés.
07

Résultats et captures

Captures des dashboards, recherches et alertes.

Dashboard Graylog
Recherche de logs
Stream par service
Pipeline rules
Alerte critique
Statistiques d'index
Retour aux projets