SlideShare une entreprise Scribd logo
1  sur  60
Graylog
Réalisé par :
Khachlouf yesmine
Ouhichi nessrine
Ben amor emna
2
01
02
03
05
06
Introduction
Installation et configuration
Les agents du Graylog
Exemples d’attaques
04 Les fonctionnalités du Graylog
07 Conclusion
Graylog Https
3
Introduction
4
Introduction
logs
Les logs sont des journaux d’événements où sont collectés les
événements relatifs à l’état d’un système
5
Introduction
Centralisation des logs
La centralisation des logs est une solution qui consiste à rassembler tous les logs
d’un groupe de machines sur la même plateforme. Toutes les informations des logs
deviennent ainsi accessibles via une interface unique, simple d’accès et
d’exploitation
6
Introduction
Centralisation des logs
La centralisation des logs est un processus continu qui se décompose en plusieurs étapes :
o La génération des logs : vous choisissez les logs à produire selon les objectifs et besoins
du projet.
o La collecte : les logs sont ensuite envoyés vers une plateforme commune. La transmission
est définie par des règles et réalisable avec des protocoles spécifiques.
o Le filtrage : vous analysez et filtrez les différentes metrics et variables pour répondre aux
besoins spécifiques du monitoring.
o La présentation des données : cette étape permet de créer des Dashboard
personnalisés regroupant les données synthétisées, pour permettre de lire et
comprendre les données des logs.
7
Introduction
Comparison des outils des logs
installation Très simple
d’installation : creation
d’un compte et
récupération du fichier
d’installation sur le site
officiel de Splunk.
L’installation est plus
complexe que Splunk
mais reste relativement
simple grâce à la
documentation en ligne.
Installation similaire à ELK
configuration Configuration simple qui
se fait depuis l’interface
Web (configuration de
port d’écoute, ajout de
données…)
Configuration plus
complexe car il faut
configurer Logstash (il
faut donc maîtriser un
minimum de langages
de script)
Configuration simple et
similaire à Splunk car ellese
fait là aussi depuis l’interface
web.
Recherche
Simple pour une
utilisation basique. Il
suffit de taper le mot
clérecherché pour qu’il
s’affiche en
surbrillance.
Simple également pour
une basique utilisation.
Similaire à Splunk
Utilisation basique
simple, similaire à Splunk
et ELK
8
Introduction
Comparison des outils des logs
Tableau de bord
(Dashboard
Dashboard non interactif.
Barre de recherche et
temps non disponible par
défaut. Il faut configurer
les dashboards pour les
rendre compatibles avec
les visualisations
Dashboard interactif
par défaut. Barre de
recherche et barre de
temps toujours
disponibles.
Dashboard facile à créer
et à modifier mais ces
deux aspects ne sont pas
interactifs et la barre de
recherche / temps n’est
pas disponible ; Point
faible de Graylog.
alertes Nécessite la version «
Splunk Enterprise ».
Nécessite le « X-Pack » et
donc la souscription à un
abonnement.
Alertes disponibles
gratuitement. Point fort de
Graylog.
Identification
et gestion des
utilisateurs
Nécessite la version «
Splunk Enterprise » pour
créer des utilisateurs et
gérer leurs droits.
Gestion des utilisateurs
disponible gratuitement.
Nécessite « X-Pack » pour
bénéficier de la fonction
d’identification et la
gestion des utilisateurs
9
Graylog
Introduction
est une plate-forme de gestion log open source. Il permet de collecter, d'indexer et
d'analyser les logs dans un emplacement centralisé. Tous les messages sont stockés dans
une base de données MongoDB. Le serveur Graylog a été écrit en Java et accepte les logs
des systèmes via UDP ou TCP.
10
Graylog
Introduction
Graylog a quatre composants principaux:
1.Graylog Server: reçoit et traite les messages et communique avec tous les autres
composants
2.Elasticsearch: gére l'indexation et la recherche de données.
1.MongoDB: stocke les métadonnées et ne subit pas beaucoup de charge.
2.Interface Web: l'interface utilisateur.
11
Installation et configuration
12
Installation
Graylog peut être installé de différentes manières:
o Paquets de système d'exploitation
o Installation d'Ubuntu
o Installation de Debian
o Installation de CentOS
o Installation SLES
o Docker
13
Installation
Graylog 4.3 requiert les éléments suivants pour maintenir la compatibilité avec ses dépendances
logicielles :
 OpenJDK (17 ou 11 )
 Elasticsearch 7.10.2 OU OpenSearch 2.x
 MongoDB (5.x ou 6.x)
Déployez un serveur Ubuntu 20.04 entièrement mis à jour avec au moins 4 Go de RAM .
Conditions préalables
14
Installation
OpenJDK
$ sudo apt -y install bash-completion apt-transport-https uuid-runtime pwgen
openjdk-17-jre-headless
15
Installation
Elasticsearch
$ wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
$ echo "deb https://artifacts.elastic.co/packages/oss-7.x/apt stable main" | sudo
tee -a /etc/apt/sources.list.d/elastic-6.x.list
$ sudo apt -y install elasticsearch-oss
• Importez la clé de signature Elasticsearch PGP.
• Ajoutez le référentiel Elasticsearch.
• Installez Elasticsearch.
16
Configuration
Elasticsearch
$ sudo nano /etc/elasticsearch/elasticsearch.yml
• Ajoutez ces deux lignes à la fin du fichier:
17
Installation
MongoDB
• Activez le service MongoDB pour qu'il démarre au démarrage du système:
• Installez le serveur MongoDB:
$ sudo apt install mongodb-server -y
$ sudo systemctl enable mongodb
• Démarrez le service MongoDB:
$ sudo systemctl start mongodb
18
Installation
Graylog
• Installez Graylog.
• Ajoutez le référentiel Graylog.
$ wget https://packages.graylog2.org/repo/packages/graylog-4.3-repository_latest.deb
• Installez le package de serveur Graylog
sudo dpkg -i graylog-4.3-repository_latest.deb
$ sudo apt -y install graylog-server
19
Configuration
Graylog
 Choisir un mot de passe fort pour votre compte administrateur et générez un hachage de 64
caractères. Par exemple:
$ echo -n StrongPassword | sha256sum
 Modifier le fichier de configuration Graylog: nano /etc/graylog/server/server.conf
20
Configuration
Graylog
 Metter à jour root_username
 Mettez à jour http_bind_address
21
Configuration
Graylog
 Redémarrez le démon système.
$ sudo systemctl daemon-reload
 Redémarrez le service Graylog.
$ sudo systemctl restart graylog-server
 Activez le service Graylog pour qu'il s'exécute au démarrage du
système.
$ sudo systemctl enable graylog-server
22
Les agents du Graylog
23
Agent Graylog
est un agent autonome qui envoie des données de journal à Graylog Cloud
ou à un cluster Graylog Server sur site.
 AGENT LINUX GRAYLOG
• Filebeat
• nxlog
 AGENT WINDOWS GRAYLOG
• Filebeat
• Nxlog
• winlogbeat
Agent Windows Graylog
24
Agent Graylog
• Téléchargez l'agent NXlog pour Windows à partir
de https://nxlog.co/products/nxlog-community-edition/download
• Installer l'agent NXlog
• créer un input
System > Input
Agent Windows Graylog
25
Agent Graylog
Agent Windows Graylog
26
Agent Graylog
• Modifier la configuration NXlog
Agent linux Graylog
27
Agent Graylog
Graylog Sidecar est un cadre de gestion de configuration agile pour divers collecteurs
de journaux appelés backends
Agent linux Graylog
28
Agent Graylog
• Installer la configuration du référentiel Graylog Sidecar et Graylog Sidecar lui-
même avec les commandes suivantes :
$ wget https://packages.graylog2.org/repo/packages/graylog-sidecar-
repository_1-2_all.deb
$ sudo dpkg -i graylog-sidecar-repository_1-2_all.deb
$ sudo apt-get update && sudo apt-get install graylog-sidecar
• Modifier la configuration (voir Configuration ) et activez le Sidecar en tant
que service système :
$ vi /etc/graylog/sidecar/sidecar.yml
$ sudo graylog-sidecar -service install
$ sudo start graylog-sidecar
$ sudo systemctl enable graylog-sidecar
$ sudo systemctl start graylog-sidecar
Agent linux Graylog
29
Agent Graylog
Configurer votre entrée pour recevoir les journaux Windows Sidecar sur le
port 5044
Agent linux Graylog
30
Agent Graylog
• Installation des collecteurs sous linux par exemple filebeat
• Configuration du side-car
Agent linux Graylog
31
Agent Graylog
Agent linux Graylog
32
Agent Graylog
Modifier fichier de configuration de sidecar
Agent linux Graylog
33
Agent Graylog
Agent linux Graylog
34
Agent Graylog
Agent linux Graylog
35
Agent Graylog
Agent linux Graylog
36
Agent Graylog
Autre méthode pour collecter les journaux sur linux
37
Rsyslog
Rsyslog est un logiciel libre utilisé sur des systèmes d'exploitation de type Unix transférant les
messages des journaux d'événements sur un réseau IP.
• Modifier fichier de configuration Rsyslog
méthode pour collecter les journaux sur linux
sans agent
38
Rsyslog
Rsyslog est un logiciel libre utilisé sur des systèmes d'exploitation de type Unix transférant les
messages des journaux d'événements sur un réseau IP.
• Modifier fichier de configuration Rsyslog
39
Les fonctionnalités du graylog
40
Les fonctionnalités du graylog
Search : tous les messages apparaissent ici, il est aussi possible d’en
rechercher spécifiquement
Streams : Permet de créer des flux, afin de filtrer les messages entrants, et donc
pouvoir ne donner les droits à un utilisateur que sur certains flux et non toute la
base, mais aussi créer des alertes, forwarder les messages entrants etc. C’est la
base pour la gestion des droits sur graylog.
Par exemple stream « create_user» :
41
Les fonctionnalités du graylog
Alerts : Permet de crée des alertes( par exemple envoi des notifications par
mail)
42
Les fonctionnalités du graylog
Dasboard : Pages d’accueils en widget permettant d’afficher des résumés
d’informations sur un Stream, ou une recherche. On peut aussi donner les
droits à un utilisateur que sur certains dashboard.
43
Les fonctionnalités du graylog
Sources : Vue d’ensemble des sources des messages entrants.
•Overview : vue d’ensemble de l’état du système.
•Nodes : affiche l’état du cluster graylog et des nœuds le composant.
•Inputs : permet d’ouvrir des flux en acceptant les messages entrants suivant certains
protocoles/ports.
•Output : Permet de Forwarder(Transférer) des messages (d’un stream, etc.) vers un autre
nœud ou équipement, etc (nous n’y utiliserons pas).
•Collectors : Les graylog-collector (agent java léger développé par l’équipe graylog à installer sur
des OS utilisé pour transmettre les logs à graylog),
44
Les fonctionnalités du graylog
•Collectors : Les graylog-collector (agent java léger développé par l’équipe graylog à installer sur
des OS utilisé pour transmettre les logs à graylog),
45
Les fonctionnalités du graylog
•Logging : configure la politique de journalisation des activités du système graylog.
•Users : permet de gérer les utilisateurs/droits.
46
Graylog https
47
Graylog https
sécuriser l’installation Graylog à l'aide de SSL/TLS pour vous assurer
qu'aucune donnée sensible n'est envoyée sur le réseau en texte brut
Génération du certificat :
#nano openssl-
graylog.cnf
Vérifier que le certificat soit valide pour le nom DNS et pour l’adresse IP
48
Graylog https
$ openssl req -x509 -days 365 -nodes -newkey rsa:2048 -config openssl-graylog.cnf -keyout
pkcs5-privatekey.pem -out graylog-certificate.pem
• Génération du certificat au format x.509 et la clé privé au format
PKSC#5 :
Géneration du certificat
$ openssl pkcs8 -in pkcs5-privatekey.pem -topk8 -nocrypt -out graylog-
privatekey.pem (permet de convertir la clé privée sans protection par mot de passe)
• Graylog ne prend en compte que les clés privées au format PKCS#8. Nous
allons convertir la clé privée en ce format :
49
Graylog https
• créer un dossier “certificates” dans le répertoire de Graylog afin que
Graylog puisse lire les certificats sans avoir de problèmes :
Génération du certificat
• déplacer les certificats dans le nouveau dossier :
# mkdir /etc/graylog/server/certificates
# mv graylog-* /etc/graylog/server/certificates/
50
Graylog https
Modification de la configuration de GRAYLOG:
51
Graylog https
• importer notre certificat dans le java keystore :
Si on s’arrête là notre Graylog fonctionnera bien en HTTPS. Cependant les
composants comme les Inputs, Pipelines (API) etc… eux ne fonctionneront pas.
# keytool -importcert -keystore /usr/lib/jvm/java-17openjdk-17 . 252.b09-
2.el7_8.x86_64/jre/lib/security/cacerts -alias graylog-selfsigned-certificate -file
/etc/graylog/server/certificates/graylog-certificate.pem
# systemctl restart graylog-server
52
Graylog https
53
Exemples d’attaques
54
Exemples d’attaques
exemple d’Attaque par force brute
o Attaque
55
Exemples d’attaques
Détection d’Attaque par graylog
56
Exemples d’attaques
Détection l’ajout d’un nouveau utilisateur en machine
windows
57
Exemples d’attaques
Détection l’ajout d’un nouveau utilisateur en machine
windows
58
Exemples d’attaques
Détection l’ajout d’un nouveau utilisateur en machine
windows
59
Exemples d’attaques
Détection l’ajout d’un nouveau utilisateur en machine
windows
Conclusion
• Graylog est donc un outil puissant est modulable , qui permet de s’adapter à beaucoup
d’équipements, et différents infrastructures
• Son interface est claire et rapide à utiliser , elle permet aussi de mettre en avant les informations
jugées importantes

Contenu connexe

Tendances

Security Onion - Brief
Security Onion - BriefSecurity Onion - Brief
Security Onion - BriefAshley Deuble
 
Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...Chiheb Ouaghlani
 
Alexei vladishev - Open Source Monitoring With Zabbix
Alexei vladishev - Open Source Monitoring With ZabbixAlexei vladishev - Open Source Monitoring With Zabbix
Alexei vladishev - Open Source Monitoring With ZabbixAndré Déo
 
Infrastructure - Monitoring - Cacti
Infrastructure - Monitoring - CactiInfrastructure - Monitoring - Cacti
Infrastructure - Monitoring - CactiFrédéric FAURE
 
Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013Alain Ganuchaud
 
Optimisation de la plateforme de Supervision Zabbix
Optimisation de la plateforme de Supervision ZabbixOptimisation de la plateforme de Supervision Zabbix
Optimisation de la plateforme de Supervision ZabbixAlain Ganuchaud
 
Cours - Supervision SysRes et Présentation de Nagios
Cours - Supervision SysRes et Présentation de NagiosCours - Supervision SysRes et Présentation de Nagios
Cours - Supervision SysRes et Présentation de NagiosErwan 'Labynocle' Ben Souiden
 
Installer et configurer NAGIOS sous linux
Installer et configurer NAGIOS sous linuxInstaller et configurer NAGIOS sous linux
Installer et configurer NAGIOS sous linuxZakariyaa AIT ELMOUDEN
 
Zabbix - fonctionnement, bonnes pratiques, inconvenients
Zabbix - fonctionnement, bonnes pratiques, inconvenientsZabbix - fonctionnement, bonnes pratiques, inconvenients
Zabbix - fonctionnement, bonnes pratiques, inconvenientsbiapy
 
Rapport nagios miniprojet
Rapport nagios miniprojetRapport nagios miniprojet
Rapport nagios miniprojetAyoub Rouzi
 
Alphorm.com Formation Docker (1/2) : Installation et Administration
Alphorm.com Formation Docker (1/2) : Installation et AdministrationAlphorm.com Formation Docker (1/2) : Installation et Administration
Alphorm.com Formation Docker (1/2) : Installation et AdministrationAlphorm
 
[SINS] Présentation de Nagios
[SINS] Présentation de Nagios[SINS] Présentation de Nagios
[SINS] Présentation de Nagiosjeyg
 
P2P Container Image Distribution on IPFS With containerd and nerdctl
P2P Container Image Distribution on IPFS With containerd and nerdctlP2P Container Image Distribution on IPFS With containerd and nerdctl
P2P Container Image Distribution on IPFS With containerd and nerdctlKohei Tokunaga
 
Premiers pas avec snort
Premiers pas avec snortPremiers pas avec snort
Premiers pas avec snortFathi Ben Nasr
 
Moussasambe projet de securite zabbix
Moussasambe projet de securite zabbixMoussasambe projet de securite zabbix
Moussasambe projet de securite zabbixmoussa sambe
 
Etude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec OpenstackEtude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec OpenstackBayeOusseynouFall
 
Monitoring avec Zabbix
Monitoring avec ZabbixMonitoring avec Zabbix
Monitoring avec ZabbixFourat Zouari
 
Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Ahmed Slim
 

Tendances (20)

Security Onion - Brief
Security Onion - BriefSecurity Onion - Brief
Security Onion - Brief
 
Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...
 
Alexei vladishev - Open Source Monitoring With Zabbix
Alexei vladishev - Open Source Monitoring With ZabbixAlexei vladishev - Open Source Monitoring With Zabbix
Alexei vladishev - Open Source Monitoring With Zabbix
 
Infrastructure - Monitoring - Cacti
Infrastructure - Monitoring - CactiInfrastructure - Monitoring - Cacti
Infrastructure - Monitoring - Cacti
 
Wazuh Pre.pptx
Wazuh Pre.pptxWazuh Pre.pptx
Wazuh Pre.pptx
 
Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013
 
Optimisation de la plateforme de Supervision Zabbix
Optimisation de la plateforme de Supervision ZabbixOptimisation de la plateforme de Supervision Zabbix
Optimisation de la plateforme de Supervision Zabbix
 
Serveur Zabbix
Serveur ZabbixServeur Zabbix
Serveur Zabbix
 
Cours - Supervision SysRes et Présentation de Nagios
Cours - Supervision SysRes et Présentation de NagiosCours - Supervision SysRes et Présentation de Nagios
Cours - Supervision SysRes et Présentation de Nagios
 
Installer et configurer NAGIOS sous linux
Installer et configurer NAGIOS sous linuxInstaller et configurer NAGIOS sous linux
Installer et configurer NAGIOS sous linux
 
Zabbix - fonctionnement, bonnes pratiques, inconvenients
Zabbix - fonctionnement, bonnes pratiques, inconvenientsZabbix - fonctionnement, bonnes pratiques, inconvenients
Zabbix - fonctionnement, bonnes pratiques, inconvenients
 
Rapport nagios miniprojet
Rapport nagios miniprojetRapport nagios miniprojet
Rapport nagios miniprojet
 
Alphorm.com Formation Docker (1/2) : Installation et Administration
Alphorm.com Formation Docker (1/2) : Installation et AdministrationAlphorm.com Formation Docker (1/2) : Installation et Administration
Alphorm.com Formation Docker (1/2) : Installation et Administration
 
[SINS] Présentation de Nagios
[SINS] Présentation de Nagios[SINS] Présentation de Nagios
[SINS] Présentation de Nagios
 
P2P Container Image Distribution on IPFS With containerd and nerdctl
P2P Container Image Distribution on IPFS With containerd and nerdctlP2P Container Image Distribution on IPFS With containerd and nerdctl
P2P Container Image Distribution on IPFS With containerd and nerdctl
 
Premiers pas avec snort
Premiers pas avec snortPremiers pas avec snort
Premiers pas avec snort
 
Moussasambe projet de securite zabbix
Moussasambe projet de securite zabbixMoussasambe projet de securite zabbix
Moussasambe projet de securite zabbix
 
Etude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec OpenstackEtude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec Openstack
 
Monitoring avec Zabbix
Monitoring avec ZabbixMonitoring avec Zabbix
Monitoring avec Zabbix
 
Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack
 

Similaire à graylog.pptx

Maintenance du système Linux
Maintenance du système LinuxMaintenance du système Linux
Maintenance du système LinuxEL AMRI El Hassan
 
Mdl ocsinventory 20100330-2
Mdl ocsinventory 20100330-2Mdl ocsinventory 20100330-2
Mdl ocsinventory 20100330-2tikok974
 
Mdl ocsinventory 20100330
Mdl ocsinventory 20100330Mdl ocsinventory 20100330
Mdl ocsinventory 20100330robertpluss
 
Alphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentauxAlphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentauxAlphorm
 
Gestion des LOGS savec syslog+loganalyzer
Gestion des LOGS savec syslog+loganalyzerGestion des LOGS savec syslog+loganalyzer
Gestion des LOGS savec syslog+loganalyzerMohamet Lamine DIOP
 
Mdl ocsinventory 20100330-2
Mdl ocsinventory 20100330-2Mdl ocsinventory 20100330-2
Mdl ocsinventory 20100330-2tikok974
 
Installation et configuration d'openbravo
Installation et configuration d'openbravoInstallation et configuration d'openbravo
Installation et configuration d'openbravoSoumia Brabije
 
Elastic Morocco user group meetup June
Elastic Morocco user group meetup JuneElastic Morocco user group meetup June
Elastic Morocco user group meetup JuneAnna Ossowski
 
Installation Et Configuration De Monkey Spider
Installation Et Configuration De Monkey SpiderInstallation Et Configuration De Monkey Spider
Installation Et Configuration De Monkey SpiderMohamed Ben Bouzid
 
Python application packaging @ MeilleursAgents
Python application packaging @ MeilleursAgentsPython application packaging @ MeilleursAgents
Python application packaging @ MeilleursAgentsNicolas Mussat
 
Gestion et surveillance du reseau syslogng
Gestion et surveillance du reseau  syslogngGestion et surveillance du reseau  syslogng
Gestion et surveillance du reseau syslogngKiemde Franck
 
Rmll2010 admin sys-panelgzw-fr
Rmll2010 admin sys-panelgzw-frRmll2010 admin sys-panelgzw-fr
Rmll2010 admin sys-panelgzw-frGaëtan Trellu
 
PostgreSQL sous linux
PostgreSQL sous linuxPostgreSQL sous linux
PostgreSQL sous linuxKhalid ALLILI
 
Chaine de production pipeline
Chaine de production   pipelineChaine de production   pipeline
Chaine de production pipelineNicolas wallerand
 

Similaire à graylog.pptx (20)

Installation open erp
Installation open erpInstallation open erp
Installation open erp
 
Maintenance du système Linux
Maintenance du système LinuxMaintenance du système Linux
Maintenance du système Linux
 
SDN OpenDaylight
SDN OpenDaylightSDN OpenDaylight
SDN OpenDaylight
 
Mdl ocsinventory 20100330-2
Mdl ocsinventory 20100330-2Mdl ocsinventory 20100330-2
Mdl ocsinventory 20100330-2
 
Mdl ocsinventory 20100330
Mdl ocsinventory 20100330Mdl ocsinventory 20100330
Mdl ocsinventory 20100330
 
Alphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentauxAlphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentaux
 
Gestion des LOGS savec syslog+loganalyzer
Gestion des LOGS savec syslog+loganalyzerGestion des LOGS savec syslog+loganalyzer
Gestion des LOGS savec syslog+loganalyzer
 
Mdl ocsinventory 20100330-2
Mdl ocsinventory 20100330-2Mdl ocsinventory 20100330-2
Mdl ocsinventory 20100330-2
 
Installation et configuration d'openbravo
Installation et configuration d'openbravoInstallation et configuration d'openbravo
Installation et configuration d'openbravo
 
Elastic Morocco user group meetup June
Elastic Morocco user group meetup JuneElastic Morocco user group meetup June
Elastic Morocco user group meetup June
 
Jenkins
JenkinsJenkins
Jenkins
 
Geneve Monitoring Graylog
Geneve Monitoring GraylogGeneve Monitoring Graylog
Geneve Monitoring Graylog
 
Installation Et Configuration De Monkey Spider
Installation Et Configuration De Monkey SpiderInstallation Et Configuration De Monkey Spider
Installation Et Configuration De Monkey Spider
 
Infrastructure as code drupal
Infrastructure as code drupalInfrastructure as code drupal
Infrastructure as code drupal
 
Python application packaging @ MeilleursAgents
Python application packaging @ MeilleursAgentsPython application packaging @ MeilleursAgents
Python application packaging @ MeilleursAgents
 
Gestion et surveillance du reseau syslogng
Gestion et surveillance du reseau  syslogngGestion et surveillance du reseau  syslogng
Gestion et surveillance du reseau syslogng
 
Catalogue PFE 2019
Catalogue PFE 2019Catalogue PFE 2019
Catalogue PFE 2019
 
Rmll2010 admin sys-panelgzw-fr
Rmll2010 admin sys-panelgzw-frRmll2010 admin sys-panelgzw-fr
Rmll2010 admin sys-panelgzw-fr
 
PostgreSQL sous linux
PostgreSQL sous linuxPostgreSQL sous linux
PostgreSQL sous linux
 
Chaine de production pipeline
Chaine de production   pipelineChaine de production   pipeline
Chaine de production pipeline
 

graylog.pptx

  • 1. Graylog Réalisé par : Khachlouf yesmine Ouhichi nessrine Ben amor emna
  • 2. 2 01 02 03 05 06 Introduction Installation et configuration Les agents du Graylog Exemples d’attaques 04 Les fonctionnalités du Graylog 07 Conclusion Graylog Https
  • 4. 4 Introduction logs Les logs sont des journaux d’événements où sont collectés les événements relatifs à l’état d’un système
  • 5. 5 Introduction Centralisation des logs La centralisation des logs est une solution qui consiste à rassembler tous les logs d’un groupe de machines sur la même plateforme. Toutes les informations des logs deviennent ainsi accessibles via une interface unique, simple d’accès et d’exploitation
  • 6. 6 Introduction Centralisation des logs La centralisation des logs est un processus continu qui se décompose en plusieurs étapes : o La génération des logs : vous choisissez les logs à produire selon les objectifs et besoins du projet. o La collecte : les logs sont ensuite envoyés vers une plateforme commune. La transmission est définie par des règles et réalisable avec des protocoles spécifiques. o Le filtrage : vous analysez et filtrez les différentes metrics et variables pour répondre aux besoins spécifiques du monitoring. o La présentation des données : cette étape permet de créer des Dashboard personnalisés regroupant les données synthétisées, pour permettre de lire et comprendre les données des logs.
  • 7. 7 Introduction Comparison des outils des logs installation Très simple d’installation : creation d’un compte et récupération du fichier d’installation sur le site officiel de Splunk. L’installation est plus complexe que Splunk mais reste relativement simple grâce à la documentation en ligne. Installation similaire à ELK configuration Configuration simple qui se fait depuis l’interface Web (configuration de port d’écoute, ajout de données…) Configuration plus complexe car il faut configurer Logstash (il faut donc maîtriser un minimum de langages de script) Configuration simple et similaire à Splunk car ellese fait là aussi depuis l’interface web. Recherche Simple pour une utilisation basique. Il suffit de taper le mot clérecherché pour qu’il s’affiche en surbrillance. Simple également pour une basique utilisation. Similaire à Splunk Utilisation basique simple, similaire à Splunk et ELK
  • 8. 8 Introduction Comparison des outils des logs Tableau de bord (Dashboard Dashboard non interactif. Barre de recherche et temps non disponible par défaut. Il faut configurer les dashboards pour les rendre compatibles avec les visualisations Dashboard interactif par défaut. Barre de recherche et barre de temps toujours disponibles. Dashboard facile à créer et à modifier mais ces deux aspects ne sont pas interactifs et la barre de recherche / temps n’est pas disponible ; Point faible de Graylog. alertes Nécessite la version « Splunk Enterprise ». Nécessite le « X-Pack » et donc la souscription à un abonnement. Alertes disponibles gratuitement. Point fort de Graylog. Identification et gestion des utilisateurs Nécessite la version « Splunk Enterprise » pour créer des utilisateurs et gérer leurs droits. Gestion des utilisateurs disponible gratuitement. Nécessite « X-Pack » pour bénéficier de la fonction d’identification et la gestion des utilisateurs
  • 9. 9 Graylog Introduction est une plate-forme de gestion log open source. Il permet de collecter, d'indexer et d'analyser les logs dans un emplacement centralisé. Tous les messages sont stockés dans une base de données MongoDB. Le serveur Graylog a été écrit en Java et accepte les logs des systèmes via UDP ou TCP.
  • 10. 10 Graylog Introduction Graylog a quatre composants principaux: 1.Graylog Server: reçoit et traite les messages et communique avec tous les autres composants 2.Elasticsearch: gére l'indexation et la recherche de données. 1.MongoDB: stocke les métadonnées et ne subit pas beaucoup de charge. 2.Interface Web: l'interface utilisateur.
  • 12. 12 Installation Graylog peut être installé de différentes manières: o Paquets de système d'exploitation o Installation d'Ubuntu o Installation de Debian o Installation de CentOS o Installation SLES o Docker
  • 13. 13 Installation Graylog 4.3 requiert les éléments suivants pour maintenir la compatibilité avec ses dépendances logicielles :  OpenJDK (17 ou 11 )  Elasticsearch 7.10.2 OU OpenSearch 2.x  MongoDB (5.x ou 6.x) Déployez un serveur Ubuntu 20.04 entièrement mis à jour avec au moins 4 Go de RAM . Conditions préalables
  • 14. 14 Installation OpenJDK $ sudo apt -y install bash-completion apt-transport-https uuid-runtime pwgen openjdk-17-jre-headless
  • 15. 15 Installation Elasticsearch $ wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add - $ echo "deb https://artifacts.elastic.co/packages/oss-7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-6.x.list $ sudo apt -y install elasticsearch-oss • Importez la clé de signature Elasticsearch PGP. • Ajoutez le référentiel Elasticsearch. • Installez Elasticsearch.
  • 16. 16 Configuration Elasticsearch $ sudo nano /etc/elasticsearch/elasticsearch.yml • Ajoutez ces deux lignes à la fin du fichier:
  • 17. 17 Installation MongoDB • Activez le service MongoDB pour qu'il démarre au démarrage du système: • Installez le serveur MongoDB: $ sudo apt install mongodb-server -y $ sudo systemctl enable mongodb • Démarrez le service MongoDB: $ sudo systemctl start mongodb
  • 18. 18 Installation Graylog • Installez Graylog. • Ajoutez le référentiel Graylog. $ wget https://packages.graylog2.org/repo/packages/graylog-4.3-repository_latest.deb • Installez le package de serveur Graylog sudo dpkg -i graylog-4.3-repository_latest.deb $ sudo apt -y install graylog-server
  • 19. 19 Configuration Graylog  Choisir un mot de passe fort pour votre compte administrateur et générez un hachage de 64 caractères. Par exemple: $ echo -n StrongPassword | sha256sum  Modifier le fichier de configuration Graylog: nano /etc/graylog/server/server.conf
  • 20. 20 Configuration Graylog  Metter à jour root_username  Mettez à jour http_bind_address
  • 21. 21 Configuration Graylog  Redémarrez le démon système. $ sudo systemctl daemon-reload  Redémarrez le service Graylog. $ sudo systemctl restart graylog-server  Activez le service Graylog pour qu'il s'exécute au démarrage du système. $ sudo systemctl enable graylog-server
  • 22. 22 Les agents du Graylog
  • 23. 23 Agent Graylog est un agent autonome qui envoie des données de journal à Graylog Cloud ou à un cluster Graylog Server sur site.  AGENT LINUX GRAYLOG • Filebeat • nxlog  AGENT WINDOWS GRAYLOG • Filebeat • Nxlog • winlogbeat
  • 24. Agent Windows Graylog 24 Agent Graylog • Téléchargez l'agent NXlog pour Windows à partir de https://nxlog.co/products/nxlog-community-edition/download • Installer l'agent NXlog • créer un input System > Input
  • 26. Agent Windows Graylog 26 Agent Graylog • Modifier la configuration NXlog
  • 27. Agent linux Graylog 27 Agent Graylog Graylog Sidecar est un cadre de gestion de configuration agile pour divers collecteurs de journaux appelés backends
  • 28. Agent linux Graylog 28 Agent Graylog • Installer la configuration du référentiel Graylog Sidecar et Graylog Sidecar lui- même avec les commandes suivantes : $ wget https://packages.graylog2.org/repo/packages/graylog-sidecar- repository_1-2_all.deb $ sudo dpkg -i graylog-sidecar-repository_1-2_all.deb $ sudo apt-get update && sudo apt-get install graylog-sidecar • Modifier la configuration (voir Configuration ) et activez le Sidecar en tant que service système : $ vi /etc/graylog/sidecar/sidecar.yml $ sudo graylog-sidecar -service install $ sudo start graylog-sidecar $ sudo systemctl enable graylog-sidecar $ sudo systemctl start graylog-sidecar
  • 29. Agent linux Graylog 29 Agent Graylog Configurer votre entrée pour recevoir les journaux Windows Sidecar sur le port 5044
  • 30. Agent linux Graylog 30 Agent Graylog • Installation des collecteurs sous linux par exemple filebeat • Configuration du side-car
  • 32. Agent linux Graylog 32 Agent Graylog Modifier fichier de configuration de sidecar
  • 37. Autre méthode pour collecter les journaux sur linux 37 Rsyslog Rsyslog est un logiciel libre utilisé sur des systèmes d'exploitation de type Unix transférant les messages des journaux d'événements sur un réseau IP. • Modifier fichier de configuration Rsyslog
  • 38. méthode pour collecter les journaux sur linux sans agent 38 Rsyslog Rsyslog est un logiciel libre utilisé sur des systèmes d'exploitation de type Unix transférant les messages des journaux d'événements sur un réseau IP. • Modifier fichier de configuration Rsyslog
  • 40. 40 Les fonctionnalités du graylog Search : tous les messages apparaissent ici, il est aussi possible d’en rechercher spécifiquement Streams : Permet de créer des flux, afin de filtrer les messages entrants, et donc pouvoir ne donner les droits à un utilisateur que sur certains flux et non toute la base, mais aussi créer des alertes, forwarder les messages entrants etc. C’est la base pour la gestion des droits sur graylog. Par exemple stream « create_user» :
  • 41. 41 Les fonctionnalités du graylog Alerts : Permet de crée des alertes( par exemple envoi des notifications par mail)
  • 42. 42 Les fonctionnalités du graylog Dasboard : Pages d’accueils en widget permettant d’afficher des résumés d’informations sur un Stream, ou une recherche. On peut aussi donner les droits à un utilisateur que sur certains dashboard.
  • 43. 43 Les fonctionnalités du graylog Sources : Vue d’ensemble des sources des messages entrants. •Overview : vue d’ensemble de l’état du système. •Nodes : affiche l’état du cluster graylog et des nœuds le composant. •Inputs : permet d’ouvrir des flux en acceptant les messages entrants suivant certains protocoles/ports. •Output : Permet de Forwarder(Transférer) des messages (d’un stream, etc.) vers un autre nœud ou équipement, etc (nous n’y utiliserons pas). •Collectors : Les graylog-collector (agent java léger développé par l’équipe graylog à installer sur des OS utilisé pour transmettre les logs à graylog),
  • 44. 44 Les fonctionnalités du graylog •Collectors : Les graylog-collector (agent java léger développé par l’équipe graylog à installer sur des OS utilisé pour transmettre les logs à graylog),
  • 45. 45 Les fonctionnalités du graylog •Logging : configure la politique de journalisation des activités du système graylog. •Users : permet de gérer les utilisateurs/droits.
  • 47. 47 Graylog https sécuriser l’installation Graylog à l'aide de SSL/TLS pour vous assurer qu'aucune donnée sensible n'est envoyée sur le réseau en texte brut Génération du certificat : #nano openssl- graylog.cnf Vérifier que le certificat soit valide pour le nom DNS et pour l’adresse IP
  • 48. 48 Graylog https $ openssl req -x509 -days 365 -nodes -newkey rsa:2048 -config openssl-graylog.cnf -keyout pkcs5-privatekey.pem -out graylog-certificate.pem • Génération du certificat au format x.509 et la clé privé au format PKSC#5 : Géneration du certificat $ openssl pkcs8 -in pkcs5-privatekey.pem -topk8 -nocrypt -out graylog- privatekey.pem (permet de convertir la clé privée sans protection par mot de passe) • Graylog ne prend en compte que les clés privées au format PKCS#8. Nous allons convertir la clé privée en ce format :
  • 49. 49 Graylog https • créer un dossier “certificates” dans le répertoire de Graylog afin que Graylog puisse lire les certificats sans avoir de problèmes : Génération du certificat • déplacer les certificats dans le nouveau dossier : # mkdir /etc/graylog/server/certificates # mv graylog-* /etc/graylog/server/certificates/
  • 50. 50 Graylog https Modification de la configuration de GRAYLOG:
  • 51. 51 Graylog https • importer notre certificat dans le java keystore : Si on s’arrête là notre Graylog fonctionnera bien en HTTPS. Cependant les composants comme les Inputs, Pipelines (API) etc… eux ne fonctionneront pas. # keytool -importcert -keystore /usr/lib/jvm/java-17openjdk-17 . 252.b09- 2.el7_8.x86_64/jre/lib/security/cacerts -alias graylog-selfsigned-certificate -file /etc/graylog/server/certificates/graylog-certificate.pem # systemctl restart graylog-server
  • 54. 54 Exemples d’attaques exemple d’Attaque par force brute o Attaque
  • 56. 56 Exemples d’attaques Détection l’ajout d’un nouveau utilisateur en machine windows
  • 57. 57 Exemples d’attaques Détection l’ajout d’un nouveau utilisateur en machine windows
  • 58. 58 Exemples d’attaques Détection l’ajout d’un nouveau utilisateur en machine windows
  • 59. 59 Exemples d’attaques Détection l’ajout d’un nouveau utilisateur en machine windows
  • 60. Conclusion • Graylog est donc un outil puissant est modulable , qui permet de s’adapter à beaucoup d’équipements, et différents infrastructures • Son interface est claire et rapide à utiliser , elle permet aussi de mettre en avant les informations jugées importantes