====INSTALLATION DE GRAYLOG====

==prérequis :==
  *une connexion internet
  *une debian shell à jour
  *Synchronisation Horaire

==procédure==
  *synchroniser le fuseau horaire
  *installation
  *configuration

==synchoniser le fuseau horaire== 

<code>
echo "NTP=ntp.unniv-rennes2.fr >> /etc/systemd/timesyncd.conf
timedatectlset-ntp true
systemctl restart systemd-timesyncd.service
timedatectl timesync-status
</code>

==préparer le terrain==

<code>
apt-get install curl lsb-release ca-certificates gnupg2 pwgen -O
curl -fsSL https://www.mongodb.org/static/pgp/server-6.0.asc | gpg -o /usr/share/keyrings/mongodb-server-6.0.gpg --dearmor
echo "deb [ signed-by=/usr/share/keyrings/mongodb-server-6.0.gpg] http://repo.mongodb.org/apt/debian bullseye/mongodb-org/6.0 main" | tee /etc/apt/sources.list.d/mongodb-org-6.0.list
apt-get install -y mongodb-org
wget http://archive.ubuntu.com/ubuntu/pool/main/o/openssl/libssl1.1_1.1.1f-1ubuntu2.24_amd64.deb
dpkg -i libssl1.1_1.1.1f-1ubuntu2.24_amd64.deb
apt-get install -y mongodb-org
systemctl daemon-reload
systemctl enable mongod.service
systemctl restart mongod.service
systemctl --type=service --state=active | grep mongod
curl -o- https://artifacts.opensearch.org/publickeys/opensearch.pgp | gpg --dearmor --batch --yes -o /usr/share/keyrings/opensearch-keyring
echo "deb [signed-by=/usr/share/keyrings/opensearch-keyring] https://artifacts.opensearch.org/releases/bundle/opensearch/2.x/apt stable main" | tee /etc/apt/sources.list.d/opensearch-2.x.list
apt-get update
env OPENSEARCH_INITIAL_ADMIN_PASSWORD=Btssio2017! apt-get install opensearch
cat <<EOF > /etc/opensearch/opensearch.yml
cluster.name: graylog
node.name: $(hostname)
path.data: /var/lib/opensearch
path.logs: /var/log/opensearch
discovery.type: single-node
network.host: 127.0.0.1
action.auto_create_index: false
plugins.security.disabled: true
EOF
</code>


==éditer Java==
<code>
nano /etc/opensearch/jvm.options
</code>

-Xms1g
-Xmx1g

Par le nombre de giga pour graylog (4ici) :

-Xms4g
-Xmx4g

En principe, sur une machine Debian 12 fraîchement installée, la valeur est déjà correcte. Mais, nous allons le vérifier. Exécutez cette commande :
<code>
cat /proc/sys/vm/max_map_count
</code>
Si vous obtenez une valeur différente de "262144", exécutez la commande suivante, sinon ce n'est pas nécessaire.
<code>
sudo sysctl -w vm.max_map_count=262144
</code>
Enfin, activez le démarrage automatique d'OpenSearch et lancez le service associé.
<code>
systemctl daemon-reload
systemctl enable opensearch
systemctl start opensearch
</code>
Si vous affichez l'état de votre système, vous devriez voir un processus Java avec 4 Go de RAM.
<code>
top
</code>

==installer Graylog==
<code>
wget https://packages.graylog2.org/repo/packages/graylog-6.1-repository_latest.deb
dpkg -i graylog-6.1-repository_latest.deb
apt-get update
apt-get install graylog-server
</code>

Quand c'est fait, nous devons apporter des modifications à la configuration de Graylog avant de chercher à le lancer.

Commençons par configurer ces deux options :
  *password_secret : ce paramètre sert à définir une clé utilisée par Graylog pour sécuriser le stockage des mots de passe utilisateurs (dans l'esprit d'une clé de salage). Cette clé doit être unique et aléatoire.
  *root_password_sha2 : ce paramètre correspond au mot de passe de l’administrateur par défaut dans Graylog. Il est stocké sous forme d'un hash SHA-256.

Nous allons commencer par générer une clé de 96 caractères pour le paramètre password_secret :

<code>
pwgen -N 1 -s 96
wVSGYwOmwBIDmtQvGzSuBevWoXe0MWpNWCzhorBfvMMhia2zIjHguTbfl4uXZJdHOA0EEb1sOXJTZKINhIIBm3V57vwfQV59
</code>

Copiez la valeur retournée, puis ouvrez le fichier de configuration de Graylog :
<code>
sudo nano /etc/graylog/server/server.conf
</code>

Collez la clé au niveau du paramètre password_secret

Enregistrez et fermez le fichier.

Ensuite, vous devez définir le mot de passe du compte "admin" créé par défaut. Dans le fichier de configuration, c'est le hash du mot de passe qui doit être stocké, ce qui implique de le calculer. L'exemple ci-dessous permet d'obtenir le hash du mot de passe "PuitsDeLogs@" : adaptez la valeur avec votre mot de passe.
<code>
echo -n "PuitsDeLogs@" | shasum -a 256
6b297230efaa2905c9a746fb33a628f4d7aba4fa9d5c1b3daa6846c68e602d71
</code>

Copiez la valeur obtenue en sortie (sans le tiret en bout de ligne).

Ouvrez de nouveau le fichier de configuration de Graylog :
<code>
sudo nano /etc/graylog/server/server.conf
</code>

Collez la valeur au niveau de l'option root_password_sha2

Profitez d'être dans le fichier de configuration pour configurer l'option nommée "http_bind_address". Indiquez "0.0.0.0:9000" pour que l'interface web de Graylog soit accessible sur le port 9000, via n'importe quelle adresse IP du serveur.

Puis, configurez l'option "elasticsearch_hosts" avec la valeur "http://127.0.0.1:9200" pour déclarer notre instance locale OpenSearch. Ceci est nécessaire, car nous n'utilisons pas de Graylog Data Node. Et sans cette option, il ne sera pas possible d'aller plus loin...

Enregistrez et fermez le fichier.

Cette commande active Graylog pour qu'il démarre automatiquement au prochain démarrage et elle lance immédiatement le serveur Graylog.
<code>
sudo systemctl enable --now graylog-server
</code>

Une fois que c'est fait, tentez une connexion à Graylog à partir d'un navigateur. Indiquez l'adresse IP du serveur (ou son nom) et le port 9000.