Supervision & securite
Syslog / Graylog
Centralisation des journaux pour analyser et tracer les evenements.
01
Contexte & objectifs
J'ai deploye une solution de centralisation des logs avec Graylog pour collecter, indexer et analyser les journaux de tous les equipements de l'infrastructure (serveurs, switches, firewalls). La centralisation des logs est essentielle pour le troubleshooting, la securite (detection d'intrusions) et la conformite reglementaire.
Problematique : Comment centraliser et analyser efficacement les logs de multiples sources pour detecter les incidents et faciliter le diagnostic ?
02
Actions & realisations
Mise en place d'une infrastructure de gestion centralisee des logs.
Installation de Graylog avec MongoDB et OpenSearch/Elasticsearch
Configuration des inputs Syslog (UDP/TCP 514, GELF)
Configuration des sources (rsyslog sur Linux, NXLog sur Windows)
Creation d'extracteurs et pipelines de parsing
Mise en place de streams pour categoriser les logs
Creation de dashboards de visualisation
Configuration des alertes sur evenements critiques
Outils et technologies
Competences BTS SIO
03
Difficultes & solutions
Probleme : Logs non recus malgre la configuration rsyslog
Solution : Ouverture du port 514 UDP/TCP dans le firewall et verification avec tcpdump
Probleme : Parsing incorrect des logs Windows
Solution : Utilisation du format GELF avec NXLog et creation d'extracteurs JSON
04
Preuves & captures
Captures d'ecran de l'infrastructure Graylog.
Dashboard principal Graylog
Configuration des inputs
Streams et categories
Recherche de logs
Pipeline de parsing
Alerte configuree