SlideShare une entreprise Scribd logo

Meetup Rennes Monitoring - REX Graylog UR1

J
Johan THOMAS

Retour d'expérience de l'université de Rennes 1 sur la centralisation des logs avec Graylog 30/03/17

Données & analyses
1  sur  33
Télécharger pour lire hors ligne
Johan THOMAS - johan.thomas@univ-rennes1.fr - @jothoma1 - Meetup Rennes Monitoring 30/03/2017 Retour d’expérience Université de Rennes 1
Qui suis-je ? Johan THOMAS - @jothoma1 2 Johan THOMAS Pôle Infrastructure de la DSI Depuis Novembre 2015 @jothoma1 github.com/jothoma1 linkedin.com/in/johan-thomas1/
Sommaire • Le contexte Rennes 1 • Le projet de centralisation • La solution en production • La suite Johan THOMAS - @jothoma1 3
Contexte Rennes 1 Johan THOMAS - @jothoma1 4 29 000 étudiants 3700 personnels
Contexte Rennes 1: DSI Johan THOMAS - @jothoma1 5 73 personnels 6000 550 500
Qu’est ce qu’un log ? • Enregistrement d’événements • Fichier • BDD • Date • Permet l’analyse • Obligation réglementaire (FAI, employeurs, voir avec votre RSSI !) Johan THOMAS - @jothoma1 6
La centralisation des logs Johan THOMAS - @jothoma1 7 ELK, Splunk, Graylog, etc Formats : GELF, JSON, etc Syslog-NG, PHP, mySQL, développement locaux, pas scalable, … Format : syslog
La centralisation des logs Johan THOMAS - @jothoma1 8 ELK, Splunk, Graylog, etc Formats : GELF, JSON, etc Syslog-NG, PHP, mySQL, développement locaux, pas scalable, … Format : syslog
Le projet de refonte • Solution centralisation vieillissante • Pas systématique • Politique de rétention ? • Pas d’exploitation des données • Utilisation complexe… Johan THOMAS - @jothoma1 9
Les objectifs & enjeux • Respect de la réglementation • Conservation • Mutualisé • Développer la collaboration • Sécurité • Extension du périmètre • Tout ! • Corrélation • Analyse & Reporting (indicateurs, dashboards) • Améliorer le service rendu Johan THOMAS - @jothoma1 10 1 an maximum 3 mois en clair: exploitation 9 mois en accès réservé (réquisition)
Points d’attention centralisation logs • Transport • UDP • TCP • Format • Syslog • GELF • JSON • GROK • Extracteurs • Pipelines • Logstash • Gestion de configuration • Stockage • Accompagnement Johan THOMAS - @jothoma1 11
Pourquoi ? • Simple à prendre en main • Politiques / stratégies de rétention • Authentification / Rôles • Archivage (enterprise) • Scalable • Extrêmement performant • Alerte • Reporting (dashboards, facile d’accès) • API • Moteur de recherche • Open Source Johan THOMAS - @jothoma1 12 • Gère complètement elasticsearch • Extensible • Mature • INPUTs & OUTPUTs • Extracteurs • Pipeline • Gestion des loggers/shippers • Marketplace (forte communauté) • A l’origine du format GELF • DevOps Législation Collaboration Large périmètre Analytics Service rendu
Construction de l’infra Infra hautement disponible pour traiter des millions de logs par seconde Johan THOMAS - @jothoma1 13 Appliances « tout en un » dispos + packages + etc https://www.graylog.org/download
Construction de l’infra Johan THOMAS - @jothoma1 14 1) Répartiteurs 2) Graylog 3) Elasticsearch UDP / TCP Traitement Cache Catégorisation ACL User Interface Inputs / Outputs API Stockage Indexation Recherche
Johan THOMAS - @jothoma1 15 Stratégies de rétention multiples depuis 2.2
Cas d’usage • Assistance • Suivi du parc • SSI • Suivi et pilotage des services d’infrastructure • Corrélation • Suivi et pilotage de service fonctionnel Rappel: développer la collaboration, les utilisateurs sont autonomes dans l’utilisation de leurs logs (dashboards, alertes, etc) Démarche DevOps Johan THOMAS - @jothoma1 16
Fonctionnalités: INPUT / OUTPUT • Entrées et sorties des logs • Associées à un format • Extensible ! • Beats, • Netflow, • Redis, • SNMP, • neo4j, • Hadoop HDFS, • … • STREAMS = Catégories Johan THOMAS - @jothoma1 17
Fonctionnalités: Stratégie de rétention • Multiple • Cas d’usages: • 3 mois / 1 an -> conformité réglementation • 1 an ou plus: données anonymisées, analytics, pilotage • Archivage (enterprise) • Projection sur le coût de stockage • SAN, SSD: intérêt de conserver 9 mois de data « froides » ? • Automatisé Johan THOMAS - @jothoma1 18
Fonctionnalités: Stratégie de rétention Johan THOMAS - @jothoma1 19
Fonctionnalités: Gestion des clients Johan THOMAS - @jothoma1 20 6000 550 500 + Rsyslog / NXLog / Beats / Log4j / etc
Fonctionnalités: Gestion des clients Johan THOMAS - @jothoma1 21 6000 550 500 + Rsyslog / NXLog / Beats / Log4j / etc
Fonctionnalités: Alertes • Conditions • Notifications • Extensible ! • Sensu, • Slack, • Hipchat, • … Johan THOMAS - @jothoma1 22
Fonctionnalités: Pipelines • Logstash like • Routage • Enrichissement • Cas usage: • threat intelligence • Sysmon • Openldap (exemple) • Télé-enseignement Moodle (en cours) Johan THOMAS - @jothoma1 23
Autres fonctionnalités (et puis démo ;) ) • Extracteurs • JSON • REGEX • GROK • Etc • Audit (enterprise) • Marketplace Johan THOMAS - @jothoma1 24
Démo Johan THOMAS - @jothoma1 25
Cas d’usages Johan THOMAS - @jothoma1 26
Cas d’usages Johan THOMAS - @jothoma1 27 Services « techniques » (httpd, mysql, radius, réseau, …)
Cas d’usages Johan THOMAS - @jothoma1 28 Services fonctionnels
Cas d’usages Johan THOMAS - @jothoma1 29 SSI
Quelques chiffres sur notre infrastructure • Moyenne de 50k logs / minutes • 40-50 Go / jour • 1,5 To / mois • Coût version enterprise : 1500$ / graylog- server / an (Warning -> plus d’actualité…) Johan THOMAS - @jothoma1 30
What’s Next ?? • Continuer l’extension de périmètre • Corrélation logs encore ! • SSI: Ressources intéressantes Sysmon / Threat intelligence Plugin • Usage des services (techniques & fonctionnels) • Graph DB (neo4j) Johan THOMAS - @jothoma1 31
Conclusion • Adhésion des utilisateurs : autonomie dans la création de valeur ajoutée avec leurs logs… • Graylog indispensable dans notre « outillage » • Visibilité à tous les niveaux • Une vrai conformité dans la politique de logs • Assistance proactive / réactivité accrue • Corrélation de logs • Nouveaux usages Johan THOMAS - @jothoma1 32
Merci ! johan.thomas@univ-rennes1.fr @jothoma1 Plus d’info : https://www.graylog.org Johan THOMAS - @jothoma1 33

Recommandé

Graylog: Parc info: OK! Datacenter: OK!
Graylog: Parc info: OK! Datacenter: OK!Graylog: Parc info: OK! Datacenter: OK!
Graylog: Parc info: OK! Datacenter: OK!
Johan THOMAS
 
Retour d'expérience sur Pentaho Data Integration - ce que PDI nous a apporté
Retour d'expérience sur Pentaho Data Integration - ce que PDI nous a apportéRetour d'expérience sur Pentaho Data Integration - ce que PDI nous a apporté
Retour d'expérience sur Pentaho Data Integration - ce que PDI nous a apporté
Adrien Futschik
 
Geneve Monitoring Graylog
Geneve Monitoring GraylogGeneve Monitoring Graylog
Geneve Monitoring Graylog
OPEN-IT SERVICES
 
Elastic Morocco user group meetup June
Elastic Morocco user group meetup JuneElastic Morocco user group meetup June
Elastic Morocco user group meetup June
Anna Ossowski
 
Techniques d’accélération des pages Web
Techniques d’accélération des pages WebTechniques d’accélération des pages Web
Techniques d’accélération des pages Web
Microsoft
 
Systèmes de Gestion de Bibliothèque - une nouvelle génération?
Systèmes de Gestion de Bibliothèque - une nouvelle génération?Systèmes de Gestion de Bibliothèque - une nouvelle génération?
Systèmes de Gestion de Bibliothèque - une nouvelle génération?
Nicolas Morin
 
Systèmes de Gestion de Bibliothèque - une nouvelle génération?
Systèmes de Gestion de Bibliothèque - une nouvelle génération?Systèmes de Gestion de Bibliothèque - une nouvelle génération?
Systèmes de Gestion de Bibliothèque - une nouvelle génération?SICD
 
Webinaire Starxpert : Ged transverse avec alfresco
Webinaire Starxpert : Ged transverse avec alfrescoWebinaire Starxpert : Ged transverse avec alfresco
Webinaire Starxpert : Ged transverse avec alfresco
Jean Francois DONIKIAN
 

Recommandé

Graylog: Parc info: OK! Datacenter: OK!
Graylog: Parc info: OK! Datacenter: OK!Graylog: Parc info: OK! Datacenter: OK!
Graylog: Parc info: OK! Datacenter: OK!
Johan THOMAS
 
Retour d'expérience sur Pentaho Data Integration - ce que PDI nous a apporté
Retour d'expérience sur Pentaho Data Integration - ce que PDI nous a apportéRetour d'expérience sur Pentaho Data Integration - ce que PDI nous a apporté
Retour d'expérience sur Pentaho Data Integration - ce que PDI nous a apporté
Adrien Futschik
 
Geneve Monitoring Graylog
Geneve Monitoring GraylogGeneve Monitoring Graylog
Geneve Monitoring Graylog
OPEN-IT SERVICES
 
Elastic Morocco user group meetup June
Elastic Morocco user group meetup JuneElastic Morocco user group meetup June
Elastic Morocco user group meetup June
Anna Ossowski
 
Techniques d’accélération des pages Web
Techniques d’accélération des pages WebTechniques d’accélération des pages Web
Techniques d’accélération des pages Web
Microsoft
 
Systèmes de Gestion de Bibliothèque - une nouvelle génération?
Systèmes de Gestion de Bibliothèque - une nouvelle génération?Systèmes de Gestion de Bibliothèque - une nouvelle génération?
Systèmes de Gestion de Bibliothèque - une nouvelle génération?
Nicolas Morin
 
Systèmes de Gestion de Bibliothèque - une nouvelle génération?
Systèmes de Gestion de Bibliothèque - une nouvelle génération?Systèmes de Gestion de Bibliothèque - une nouvelle génération?
Systèmes de Gestion de Bibliothèque - une nouvelle génération?SICD
 
Webinaire Starxpert : Ged transverse avec alfresco
Webinaire Starxpert : Ged transverse avec alfrescoWebinaire Starxpert : Ged transverse avec alfresco
Webinaire Starxpert : Ged transverse avec alfresco
Jean Francois DONIKIAN
 
aOS Monaco 2019 - Tout sur les documents dans Office 365 - Sébastien Paulet
aOS Monaco 2019 - Tout sur les documents dans Office 365 - Sébastien PauletaOS Monaco 2019 - Tout sur les documents dans Office 365 - Sébastien Paulet
aOS Monaco 2019 - Tout sur les documents dans Office 365 - Sébastien Paulet
aOS Community
 
Plume Solutions Linux 2009
Plume Solutions Linux 2009Plume Solutions Linux 2009
Plume Solutions Linux 2009
Alexis Monville
 
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...LINAGORA
 
Classificateur d'URL
Classificateur d'URLClassificateur d'URL
Classificateur d'URLmartin255
 
Classificateur d'URL
Classificateur d'URLClassificateur d'URL
Classificateur d'URLmartin255
 
aOS Monaco 2019 tout sur les documents dans o365
aOS Monaco 2019 tout sur les documents dans o365aOS Monaco 2019 tout sur les documents dans o365
aOS Monaco 2019 tout sur les documents dans o365
Sébastien Paulet
 
Pyksel & Camptocamp : Connecteur Magento / Open Erp
Pyksel & Camptocamp : Connecteur Magento / Open ErpPyksel & Camptocamp : Connecteur Magento / Open Erp
Pyksel & Camptocamp : Connecteur Magento / Open Erp
Swissgento eCom Genève
 
PriceMinister et IBM FlashSystem
PriceMinister et IBM FlashSystemPriceMinister et IBM FlashSystem
PriceMinister et IBM FlashSystem
StephaneBenatar
 
Data Publica
Data PublicaData Publica
Data Publica
Etalab
 
De Devoxx au CAC40
De Devoxx au CAC40De Devoxx au CAC40
De Devoxx au CAC40
Julien Dubois
 
Déploiement d'une solution de GED (Gestion Electronique de Documents) et cond...
Déploiement d'une solution de GED (Gestion Electronique de Documents) et cond...Déploiement d'une solution de GED (Gestion Electronique de Documents) et cond...
Déploiement d'une solution de GED (Gestion Electronique de Documents) et cond...
Sollan France
 
Architecture de services web de type ressource
Architecture de services web de type ressourceArchitecture de services web de type ressource
Architecture de services web de type ressource
Antoine Pouch
 
Solution linux fr_janua_rex_i3
Solution linux fr_janua_rex_i3Solution linux fr_janua_rex_i3
Solution linux fr_janua_rex_i3Pascal Flamand
 
Présentation/Atelier oxya
Présentation/Atelier oxyaPrésentation/Atelier oxya
Présentation/Atelier oxya
Fujitsu France
 
Présentation Logilab
Présentation LogilabPrésentation Logilab
Présentation Logilab
Logilab
 
Les Français et les élections européennes - 9ème vague
Les Français et les élections européennes - 9ème vagueLes Français et les élections européennes - 9ème vague
Les Français et les élections européennes - 9ème vague
contact Elabe
 
L'Observatoire politique ELABE pour Les Echos - Juin 2024
L'Observatoire politique ELABE pour Les Echos - Juin 2024L'Observatoire politique ELABE pour Les Echos - Juin 2024
L'Observatoire politique ELABE pour Les Echos - Juin 2024
contact Elabe
 
Les Français et les élections législatives
Les Français et les élections législativesLes Français et les élections législatives
Les Français et les élections législatives
contact Elabe
 
Sondage ELABE pour Les Echos et l'Institut Montaigne -Les Français et la guer...
Sondage ELABE pour Les Echos et l'Institut Montaigne -Les Français et la guer...Sondage ELABE pour Les Echos et l'Institut Montaigne -Les Français et la guer...
Sondage ELABE pour Les Echos et l'Institut Montaigne -Les Français et la guer...
contact Elabe
 
Actualisation estimation élections européennes 2024
Actualisation estimation élections européennes 2024Actualisation estimation élections européennes 2024
Actualisation estimation élections européennes 2024
contact Elabe
 
Comprendre le vote aux élections européennes du 9 juin 2024
Comprendre le vote aux élections européennes du 9 juin 2024Comprendre le vote aux élections européennes du 9 juin 2024
Comprendre le vote aux élections européennes du 9 juin 2024
contact Elabe
 
Deuxième actualisation estimation élections européennes 2024
Deuxième actualisation estimation élections européennes 2024Deuxième actualisation estimation élections européennes 2024
Deuxième actualisation estimation élections européennes 2024
contact Elabe
 

Contenu connexe

Similaire à Meetup Rennes Monitoring - REX Graylog UR1

aOS Monaco 2019 - Tout sur les documents dans Office 365 - Sébastien Paulet
aOS Monaco 2019 - Tout sur les documents dans Office 365 - Sébastien PauletaOS Monaco 2019 - Tout sur les documents dans Office 365 - Sébastien Paulet
aOS Monaco 2019 - Tout sur les documents dans Office 365 - Sébastien Paulet
aOS Community
 
Plume Solutions Linux 2009
Plume Solutions Linux 2009Plume Solutions Linux 2009
Plume Solutions Linux 2009
Alexis Monville
 
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...LINAGORA
 
Classificateur d'URL
Classificateur d'URLClassificateur d'URL
Classificateur d'URLmartin255
 
Classificateur d'URL
Classificateur d'URLClassificateur d'URL
Classificateur d'URLmartin255
 
aOS Monaco 2019 tout sur les documents dans o365
aOS Monaco 2019 tout sur les documents dans o365aOS Monaco 2019 tout sur les documents dans o365
aOS Monaco 2019 tout sur les documents dans o365
Sébastien Paulet
 
Pyksel & Camptocamp : Connecteur Magento / Open Erp
Pyksel & Camptocamp : Connecteur Magento / Open ErpPyksel & Camptocamp : Connecteur Magento / Open Erp
Pyksel & Camptocamp : Connecteur Magento / Open Erp
Swissgento eCom Genève
 
PriceMinister et IBM FlashSystem
PriceMinister et IBM FlashSystemPriceMinister et IBM FlashSystem
PriceMinister et IBM FlashSystem
StephaneBenatar
 
Data Publica
Data PublicaData Publica
Data Publica
Etalab
 
De Devoxx au CAC40
De Devoxx au CAC40De Devoxx au CAC40
De Devoxx au CAC40
Julien Dubois
 
Déploiement d'une solution de GED (Gestion Electronique de Documents) et cond...
Déploiement d'une solution de GED (Gestion Electronique de Documents) et cond...Déploiement d'une solution de GED (Gestion Electronique de Documents) et cond...
Déploiement d'une solution de GED (Gestion Electronique de Documents) et cond...
Sollan France
 
Architecture de services web de type ressource
Architecture de services web de type ressourceArchitecture de services web de type ressource
Architecture de services web de type ressource
Antoine Pouch
 
Solution linux fr_janua_rex_i3
Solution linux fr_janua_rex_i3Solution linux fr_janua_rex_i3
Solution linux fr_janua_rex_i3Pascal Flamand
 
Présentation/Atelier oxya
Présentation/Atelier oxyaPrésentation/Atelier oxya
Présentation/Atelier oxya
Fujitsu France
 
Présentation Logilab
Présentation LogilabPrésentation Logilab
Présentation Logilab
Logilab
 

Similaire à Meetup Rennes Monitoring - REX Graylog UR1 (15)

aOS Monaco 2019 - Tout sur les documents dans Office 365 - Sébastien Paulet
aOS Monaco 2019 - Tout sur les documents dans Office 365 - Sébastien PauletaOS Monaco 2019 - Tout sur les documents dans Office 365 - Sébastien Paulet
aOS Monaco 2019 - Tout sur les documents dans Office 365 - Sébastien Paulet
 
Plume Solutions Linux 2009
Plume Solutions Linux 2009Plume Solutions Linux 2009
Plume Solutions Linux 2009
 
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...
 
Classificateur d'URL
Classificateur d'URLClassificateur d'URL
Classificateur d'URL
 
Classificateur d'URL
Classificateur d'URLClassificateur d'URL
Classificateur d'URL
 
aOS Monaco 2019 tout sur les documents dans o365
aOS Monaco 2019 tout sur les documents dans o365aOS Monaco 2019 tout sur les documents dans o365
aOS Monaco 2019 tout sur les documents dans o365
 
Pyksel & Camptocamp : Connecteur Magento / Open Erp
Pyksel & Camptocamp : Connecteur Magento / Open ErpPyksel & Camptocamp : Connecteur Magento / Open Erp
Pyksel & Camptocamp : Connecteur Magento / Open Erp
 
PriceMinister et IBM FlashSystem
PriceMinister et IBM FlashSystemPriceMinister et IBM FlashSystem
PriceMinister et IBM FlashSystem
 
Data Publica
Data PublicaData Publica
Data Publica
 
De Devoxx au CAC40
De Devoxx au CAC40De Devoxx au CAC40
De Devoxx au CAC40
 
Déploiement d'une solution de GED (Gestion Electronique de Documents) et cond...
Déploiement d'une solution de GED (Gestion Electronique de Documents) et cond...Déploiement d'une solution de GED (Gestion Electronique de Documents) et cond...
Déploiement d'une solution de GED (Gestion Electronique de Documents) et cond...
 
Architecture de services web de type ressource
Architecture de services web de type ressourceArchitecture de services web de type ressource
Architecture de services web de type ressource
 
Solution linux fr_janua_rex_i3
Solution linux fr_janua_rex_i3Solution linux fr_janua_rex_i3
Solution linux fr_janua_rex_i3
 
Présentation/Atelier oxya
Présentation/Atelier oxyaPrésentation/Atelier oxya
Présentation/Atelier oxya
 
Présentation Logilab
Présentation LogilabPrésentation Logilab
Présentation Logilab
 

Dernier

Les Français et les élections européennes - 9ème vague
Les Français et les élections européennes - 9ème vagueLes Français et les élections européennes - 9ème vague
Les Français et les élections européennes - 9ème vague
contact Elabe
 
L'Observatoire politique ELABE pour Les Echos - Juin 2024
L'Observatoire politique ELABE pour Les Echos - Juin 2024L'Observatoire politique ELABE pour Les Echos - Juin 2024
L'Observatoire politique ELABE pour Les Echos - Juin 2024
contact Elabe
 
Les Français et les élections législatives
Les Français et les élections législativesLes Français et les élections législatives
Les Français et les élections législatives
contact Elabe
 
Sondage ELABE pour Les Echos et l'Institut Montaigne -Les Français et la guer...
Sondage ELABE pour Les Echos et l'Institut Montaigne -Les Français et la guer...Sondage ELABE pour Les Echos et l'Institut Montaigne -Les Français et la guer...
Sondage ELABE pour Les Echos et l'Institut Montaigne -Les Français et la guer...
contact Elabe
 
Actualisation estimation élections européennes 2024
Actualisation estimation élections européennes 2024Actualisation estimation élections européennes 2024
Actualisation estimation élections européennes 2024
contact Elabe
 
Comprendre le vote aux élections européennes du 9 juin 2024
Comprendre le vote aux élections européennes du 9 juin 2024Comprendre le vote aux élections européennes du 9 juin 2024
Comprendre le vote aux élections européennes du 9 juin 2024
contact Elabe
 
Deuxième actualisation estimation élections européennes 2024
Deuxième actualisation estimation élections européennes 2024Deuxième actualisation estimation élections européennes 2024
Deuxième actualisation estimation élections européennes 2024
contact Elabe
 
Estimation élections européennes 2024 ELABE
Estimation élections européennes 2024 ELABEEstimation élections européennes 2024 ELABE
Estimation élections européennes 2024 ELABE
contact Elabe
 
Webinaire_les aides aux investissements.pptx
Webinaire_les aides aux investissements.pptxWebinaire_les aides aux investissements.pptx
Webinaire_les aides aux investissements.pptx
Institut de l'Elevage - Idele
 
Productivité et politique industrielles: deux défis à relever conjointement
Productivité et politique industrielles: deux défis à relever conjointementProductivité et politique industrielles: deux défis à relever conjointement
Productivité et politique industrielles: deux défis à relever conjointement
La Fabrique de l'industrie
 
Etat de l’opinion - Journée CCR CAT « Protégeons l’assurabilité »
Etat de l’opinion - Journée CCR CAT « Protégeons l’assurabilité »Etat de l’opinion - Journée CCR CAT « Protégeons l’assurabilité »
Etat de l’opinion - Journée CCR CAT « Protégeons l’assurabilité »
contact Elabe
 
Estimations ELABE BFMTV ABSTENTION élections européennes 2024
Estimations ELABE BFMTV ABSTENTION élections européennes 2024Estimations ELABE BFMTV ABSTENTION élections européennes 2024
Estimations ELABE BFMTV ABSTENTION élections européennes 2024
contact Elabe
 

Dernier (12)

Les Français et les élections européennes - 9ème vague
Les Français et les élections européennes - 9ème vagueLes Français et les élections européennes - 9ème vague
Les Français et les élections européennes - 9ème vague
 
L'Observatoire politique ELABE pour Les Echos - Juin 2024
L'Observatoire politique ELABE pour Les Echos - Juin 2024L'Observatoire politique ELABE pour Les Echos - Juin 2024
L'Observatoire politique ELABE pour Les Echos - Juin 2024
 
Les Français et les élections législatives
Les Français et les élections législativesLes Français et les élections législatives
Les Français et les élections législatives
 
Sondage ELABE pour Les Echos et l'Institut Montaigne -Les Français et la guer...
Sondage ELABE pour Les Echos et l'Institut Montaigne -Les Français et la guer...Sondage ELABE pour Les Echos et l'Institut Montaigne -Les Français et la guer...
Sondage ELABE pour Les Echos et l'Institut Montaigne -Les Français et la guer...
 
Actualisation estimation élections européennes 2024
Actualisation estimation élections européennes 2024Actualisation estimation élections européennes 2024
Actualisation estimation élections européennes 2024
 
Comprendre le vote aux élections européennes du 9 juin 2024
Comprendre le vote aux élections européennes du 9 juin 2024Comprendre le vote aux élections européennes du 9 juin 2024
Comprendre le vote aux élections européennes du 9 juin 2024
 
Deuxième actualisation estimation élections européennes 2024
Deuxième actualisation estimation élections européennes 2024Deuxième actualisation estimation élections européennes 2024
Deuxième actualisation estimation élections européennes 2024
 
Estimation élections européennes 2024 ELABE
Estimation élections européennes 2024 ELABEEstimation élections européennes 2024 ELABE
Estimation élections européennes 2024 ELABE
 
Webinaire_les aides aux investissements.pptx
Webinaire_les aides aux investissements.pptxWebinaire_les aides aux investissements.pptx
Webinaire_les aides aux investissements.pptx
 
Productivité et politique industrielles: deux défis à relever conjointement
Productivité et politique industrielles: deux défis à relever conjointementProductivité et politique industrielles: deux défis à relever conjointement
Productivité et politique industrielles: deux défis à relever conjointement
 
Etat de l’opinion - Journée CCR CAT « Protégeons l’assurabilité »
Etat de l’opinion - Journée CCR CAT « Protégeons l’assurabilité »Etat de l’opinion - Journée CCR CAT « Protégeons l’assurabilité »
Etat de l’opinion - Journée CCR CAT « Protégeons l’assurabilité »
 
Estimations ELABE BFMTV ABSTENTION élections européennes 2024
Estimations ELABE BFMTV ABSTENTION élections européennes 2024Estimations ELABE BFMTV ABSTENTION élections européennes 2024
Estimations ELABE BFMTV ABSTENTION élections européennes 2024
 

Meetup Rennes Monitoring - REX Graylog UR1

  • 1. Johan THOMAS - johan.thomas@univ-rennes1.fr - @jothoma1 - Meetup Rennes Monitoring 30/03/2017 Retour d’expérience Université de Rennes 1
  • 2. Qui suis-je ? Johan THOMAS - @jothoma1 2 Johan THOMAS Pôle Infrastructure de la DSI Depuis Novembre 2015 @jothoma1 github.com/jothoma1 linkedin.com/in/johan-thomas1/
  • 3. Sommaire • Le contexte Rennes 1 • Le projet de centralisation • La solution en production • La suite Johan THOMAS - @jothoma1 3
  • 4. Contexte Rennes 1 Johan THOMAS - @jothoma1 4 29 000 étudiants 3700 personnels
  • 5. Contexte Rennes 1: DSI Johan THOMAS - @jothoma1 5 73 personnels 6000 550 500
  • 6. Qu’est ce qu’un log ? • Enregistrement d’événements • Fichier • BDD • Date • Permet l’analyse • Obligation réglementaire (FAI, employeurs, voir avec votre RSSI !) Johan THOMAS - @jothoma1 6
  • 7. La centralisation des logs Johan THOMAS - @jothoma1 7 ELK, Splunk, Graylog, etc Formats : GELF, JSON, etc Syslog-NG, PHP, mySQL, développement locaux, pas scalable, … Format : syslog
  • 8. La centralisation des logs Johan THOMAS - @jothoma1 8 ELK, Splunk, Graylog, etc Formats : GELF, JSON, etc Syslog-NG, PHP, mySQL, développement locaux, pas scalable, … Format : syslog
  • 9. Le projet de refonte • Solution centralisation vieillissante • Pas systématique • Politique de rétention ? • Pas d’exploitation des données • Utilisation complexe… Johan THOMAS - @jothoma1 9
  • 10. Les objectifs & enjeux • Respect de la réglementation • Conservation • Mutualisé • Développer la collaboration • Sécurité • Extension du périmètre • Tout ! • Corrélation • Analyse & Reporting (indicateurs, dashboards) • Améliorer le service rendu Johan THOMAS - @jothoma1 10 1 an maximum 3 mois en clair: exploitation 9 mois en accès réservé (réquisition)
  • 11. Points d’attention centralisation logs • Transport • UDP • TCP • Format • Syslog • GELF • JSON • GROK • Extracteurs • Pipelines • Logstash • Gestion de configuration • Stockage • Accompagnement Johan THOMAS - @jothoma1 11
  • 12. Pourquoi ? • Simple à prendre en main • Politiques / stratégies de rétention • Authentification / Rôles • Archivage (enterprise) • Scalable • Extrêmement performant • Alerte • Reporting (dashboards, facile d’accès) • API • Moteur de recherche • Open Source Johan THOMAS - @jothoma1 12 • Gère complètement elasticsearch • Extensible • Mature • INPUTs & OUTPUTs • Extracteurs • Pipeline • Gestion des loggers/shippers • Marketplace (forte communauté) • A l’origine du format GELF • DevOps Législation Collaboration Large périmètre Analytics Service rendu
  • 13. Construction de l’infra Infra hautement disponible pour traiter des millions de logs par seconde Johan THOMAS - @jothoma1 13 Appliances « tout en un » dispos + packages + etc https://www.graylog.org/download
  • 14. Construction de l’infra Johan THOMAS - @jothoma1 14 1) Répartiteurs 2) Graylog 3) Elasticsearch UDP / TCP Traitement Cache Catégorisation ACL User Interface Inputs / Outputs API Stockage Indexation Recherche
  • 15. Johan THOMAS - @jothoma1 15 Stratégies de rétention multiples depuis 2.2
  • 16. Cas d’usage • Assistance • Suivi du parc • SSI • Suivi et pilotage des services d’infrastructure • Corrélation • Suivi et pilotage de service fonctionnel Rappel: développer la collaboration, les utilisateurs sont autonomes dans l’utilisation de leurs logs (dashboards, alertes, etc) Démarche DevOps Johan THOMAS - @jothoma1 16
  • 17. Fonctionnalités: INPUT / OUTPUT • Entrées et sorties des logs • Associées à un format • Extensible ! • Beats, • Netflow, • Redis, • SNMP, • neo4j, • Hadoop HDFS, • … • STREAMS = Catégories Johan THOMAS - @jothoma1 17
  • 18. Fonctionnalités: Stratégie de rétention • Multiple • Cas d’usages: • 3 mois / 1 an -> conformité réglementation • 1 an ou plus: données anonymisées, analytics, pilotage • Archivage (enterprise) • Projection sur le coût de stockage • SAN, SSD: intérêt de conserver 9 mois de data « froides » ? • Automatisé Johan THOMAS - @jothoma1 18
  • 19. Fonctionnalités: Stratégie de rétention Johan THOMAS - @jothoma1 19
  • 20. Fonctionnalités: Gestion des clients Johan THOMAS - @jothoma1 20 6000 550 500 + Rsyslog / NXLog / Beats / Log4j / etc
  • 21. Fonctionnalités: Gestion des clients Johan THOMAS - @jothoma1 21 6000 550 500 + Rsyslog / NXLog / Beats / Log4j / etc
  • 22. Fonctionnalités: Alertes • Conditions • Notifications • Extensible ! • Sensu, • Slack, • Hipchat, • … Johan THOMAS - @jothoma1 22
  • 23. Fonctionnalités: Pipelines • Logstash like • Routage • Enrichissement • Cas usage: • threat intelligence • Sysmon • Openldap (exemple) • Télé-enseignement Moodle (en cours) Johan THOMAS - @jothoma1 23
  • 24. Autres fonctionnalités (et puis démo ;) ) • Extracteurs • JSON • REGEX • GROK • Etc • Audit (enterprise) • Marketplace Johan THOMAS - @jothoma1 24
  • 25. Démo Johan THOMAS - @jothoma1 25
  • 26. Cas d’usages Johan THOMAS - @jothoma1 26
  • 27. Cas d’usages Johan THOMAS - @jothoma1 27 Services « techniques » (httpd, mysql, radius, réseau, …)
  • 28. Cas d’usages Johan THOMAS - @jothoma1 28 Services fonctionnels
  • 29. Cas d’usages Johan THOMAS - @jothoma1 29 SSI
  • 30. Quelques chiffres sur notre infrastructure • Moyenne de 50k logs / minutes • 40-50 Go / jour • 1,5 To / mois • Coût version enterprise : 1500$ / graylog- server / an (Warning -> plus d’actualité…) Johan THOMAS - @jothoma1 30
  • 31. What’s Next ?? • Continuer l’extension de périmètre • Corrélation logs encore ! • SSI: Ressources intéressantes Sysmon / Threat intelligence Plugin • Usage des services (techniques & fonctionnels) • Graph DB (neo4j) Johan THOMAS - @jothoma1 31
  • 32. Conclusion • Adhésion des utilisateurs : autonomie dans la création de valeur ajoutée avec leurs logs… • Graylog indispensable dans notre « outillage » • Visibilité à tous les niveaux • Une vrai conformité dans la politique de logs • Assistance proactive / réactivité accrue • Corrélation de logs • Nouveaux usages Johan THOMAS - @jothoma1 32
  • 33. Merci ! johan.thomas@univ-rennes1.fr @jothoma1 Plus d’info : https://www.graylog.org Johan THOMAS - @jothoma1 33