le wiki de Loan

Outils pour utilisateurs

Outils du site

Piste : graylog
graylog

Ceci est une ancienne révision du document !

INSTALLATION DE GRAYLOG

prérequis :
  • une connexion internet
  • une debian shell à jour
  • Synchronisation Horaire
procédure
  • synchroniser le fuseau horaire
  • installation
  • configuration
synchoniser le fuseau horaire
echo "NTP=ntp.unniv-rennes2.fr >> /etc/systemd/timesyncd.conf
timedatectlset-ntp true
systemctl restart systemd-timesyncd.service
timedatectl timesync-status
préparer le terrain
apt-get install curl lsb-release ca-certificates gnupg2 pwgen -O
curl -fsSL https://www.mongodb.org/static/pgp/server-6.0.asc | gpg -o /usr/share/keyrings/mongodb-server-6.0.gpg --dearmor
echo "deb [ signed-by=/usr/share/keyrings/mongodb-server-6.0.gpg] http://repo.mongodb.org/apt/debian bullseye/mongodb-org/6.0 main" | tee /etc/apt/sources.list.d/mongodb-org-6.0.list
apt-get install -y mongodb-org
wget http://archive.ubuntu.com/ubuntu/pool/main/o/openssl/libssl1.1_1.1.1f-1ubuntu2.24_amd64.deb
dpkg -i libssl1.1_1.1.1f-1ubuntu2.24_amd64.deb
apt-get install -y mongodb-org
systemctl daemon-reload
systemctl enable mongod.service
systemctl restart mongod.service
systemctl --type=service --state=active | grep mongod
curl -o- https://artifacts.opensearch.org/publickeys/opensearch.pgp | gpg --dearmor --batch --yes -o /usr/share/keyrings/opensearch-keyring
echo "deb [signed-by=/usr/share/keyrings/opensearch-keyring] https://artifacts.opensearch.org/releases/bundle/opensearch/2.x/apt stable main" | tee /etc/apt/sources.list.d/opensearch-2.x.list
apt-get update
env OPENSEARCH_INITIAL_ADMIN_PASSWORD=Btssio2017! apt-get install opensearch
cat <<EOF > /etc/opensearch/opensearch.yml
cluster.name: graylog
node.name: $(hostname)
path.data: /var/lib/opensearch
path.logs: /var/log/opensearch
discovery.type: single-node
network.host: 127.0.0.1
action.auto_create_index: false
plugins.security.disabled: true
EOF
éditer Java
nano /etc/opensearch/jvm.options

-Xms1g -Xmx1g

Par le nombre de giga pour graylog (4ici) :

-Xms4g -Xmx4g

En principe, sur une machine Debian 12 fraîchement installée, la valeur est déjà correcte. Mais, nous allons le vérifier. Exécutez cette commande : 

cat /proc/sys/vm/max_map_count

Si vous obtenez une valeur différente de “262144”, exécutez la commande suivante, sinon ce n'est pas nécessaire. 

sudo sysctl -w vm.max_map_count=262144

Enfin, activez le démarrage automatique d'OpenSearch et lancez le service associé. 

sudo systemctl daemon-reload
sudo systemctl enable opensearch
sudo systemctl start opensearch

Si vous affichez l'état de votre système, vous devriez voir un processus Java avec 4 Go de RAM. 

top
installer Graylog
wget https://packages.graylog2.org/repo/packages/graylog-6.1-repository_latest.deb
sudo dpkg -i graylog-6.1-repository_latest.deb
sudo apt-get update
sudo apt-get install graylog-server

Quand c'est fait, nous devons apporter des modifications à la configuration de Graylog avant de chercher à le lancer.

Commençons par configurer ces deux options :

  • password_secret : ce paramètre sert à définir une clé utilisée par Graylog pour sécuriser le stockage des mots de passe utilisateurs (dans l'esprit d'une clé de salage). Cette clé doit être unique et aléatoire.
  • root_password_sha2 : ce paramètre correspond au mot de passe de l’administrateur par défaut dans Graylog. Il est stocké sous forme d'un hash SHA-256.

Nous allons commencer par générer une clé de 96 caractères pour le paramètre password_secret : 

pwgen -N 1 -s 96
wVSGYwOmwBIDmtQvGzSuBevWoXe0MWpNWCzhorBfvMMhia2zIjHguTbfl4uXZJdHOA0EEb1sOXJTZKINhIIBm3V57vwfQV59

Copiez la valeur retournée, puis ouvrez le fichier de configuration de Graylog : 

sudo nano /etc/graylog/server/server.conf

Collez la clé au niveau du paramètre password_secret

Enregistrez et fermez le fichier.

Ensuite, vous devez définir le mot de passe du compte “admin” créé par défaut. Dans le fichier de configuration, c'est le hash du mot de passe qui doit être stocké, ce qui implique de le calculer. L'exemple ci-dessous permet d'obtenir le hash du mot de passe “PuitsDeLogs@” : adaptez la valeur avec votre mot de passe. 

echo -n "PuitsDeLogs@" | shasum -a 256
6b297230efaa2905c9a746fb33a628f4d7aba4fa9d5c1b3daa6846c68e602d71

Copiez la valeur obtenue en sortie (sans le tiret en bout de ligne).

Ouvrez de nouveau le fichier de configuration de Graylog : 

sudo nano /etc/graylog/server/server.conf

Collez la valeur au niveau de l'option root_password_sha2

Profitez d'être dans le fichier de configuration pour configurer l'option nommée “http_bind_address”. Indiquez “0.0.0.0:9000” pour que l'interface web de Graylog soit accessible sur le port 9000, via n'importe quelle adresse IP du serveur.

Puis, configurez l'option “elasticsearch_hosts” avec la valeur “http://127.0.0.1:9200” pour déclarer notre instance locale OpenSearch. Ceci est nécessaire, car nous n'utilisons pas de Graylog Data Node. Et sans cette option, il ne sera pas possible d'aller plus loin…

Enregistrez et fermez le fichier.

Cette commande active Graylog pour qu'il démarre automatiquement au prochain démarrage et elle lance immédiatement le serveur Graylog. 

sudo systemctl enable --now graylog-server

Une fois que c'est fait, tentez une connexion à Graylog à partir d'un navigateur. Indiquez l'adresse IP du serveur (ou son nom) et le port 9000.

graylog.1763992023.txt.gz · Dernière modification : de root