Graylog

Réalisé par :
Khachlouf yesmine
Ouhichi nessrine
Ben amor emna
01 Introduction

02 Installation et configuration

03 Les agents du Graylog

04 Les fonctionnalités du Graylog

05 Graylog Https

06 Exemples d’attaques

07 Conclusion
2
Introduction

3
Introduction
logs

Les logs sont des journaux d’événements où sont collectés les

événements relatifs à l’état d’un système

4
Introduction
Centralisation des logs

La centralisation des logs est une solution qui consiste à rassembler tous les logs
d’un groupe de machines sur la même plateforme. Toutes les informations des logs
deviennent ainsi accessibles via une interface unique, simple d’accès et
d’exploitation

5
Introduction
Centralisation des logs

La centralisation des logs est un processus continu qui se décompose en plusieurs étapes :

o La génération des logs : vous choisissez les logs à produire selon les objectifs et besoins
du projet.
o La collecte : les logs sont ensuite envoyés vers une plateforme commune. La transmission
est définie par des règles et réalisable avec des protocoles spécifiques.
o Le filtrage : vous analysez et filtrez les différentes metrics et variables pour répondre aux
besoins spécifiques du monitoring.
o La présentation des données : cette étape permet de créer des Dashboard
personnalisés regroupant les données synthétisées, pour permettre de lire et
comprendre les données des logs.

6
Introduction
Comparison des outils des logs

installation Très simple L’installation est plus Installation similaire à ELK

d’installation : creation complexe que Splunk
d’un compte et mais reste relativement
simple grâce à la
récupération du fichier
documentation en ligne.
d’installation sur le site
officiel de Splunk.

configuration Configuration simple qui Configuration plus Configuration simple et

se fait depuis l’interface complexe car il faut similaire à Splunk car elle se
Web (configuration de configurer Logstash (il fait là aussi depuis l’interface
port d’écoute, ajout de faut donc maîtriser un web.
données…) minimum de langages
de script)
Simple pour une Simple également pour Utilisation basique
Recherche utilisation basique. Il une basique utilisation. simple, similaire à Splunk
suffit de taper le mot Similaire à Splunk et ELK
clérecherché pour qu’il
s’affiche en
surbrillance.
7
Introduction
Comparison des outils des logs

Dashboard non interactif. Dashboard interactif Dashboard facile à créer

Tableau de bord par défaut. Barre de
Barre de recherche et et à modifier mais ces
(Dashboard temps non disponible par recherche et barre de deux aspects ne sont pas
défaut. Il faut configurer temps toujours interactifs et la barre de
les dashboards pour les disponibles. recherche / temps n’est
rendre compatibles avec pas disponible ; Point
les visualisations faible de Graylog.

alertes Nécessite la version « Nécessite le « X-Pack » et Alertes disponibles

Splunk Enterprise ». donc la souscription à un gratuitement. Point fort de
abonnement. Graylog.

Nécessite la version « Nécessite « X-Pack » pour Gestion des utilisateurs

Identification Splunk Enterprise » pour disponible gratuitement.
bénéficier de la fonction
et gestion des créer des utilisateurs et d’identification et la
utilisateurs gérer leurs droits. gestion des utilisateurs

8
Introduction

Graylog

est une plate-forme de gestion log open source. Il permet de collecter, d'indexer et
d'analyser les logs dans un emplacement centralisé. Tous les messages sont stockés dans
une base de données MongoDB. Le serveur Graylog a été écrit en Java et accepte les logs
des systèmes via UDP ou TCP.

9
Introduction

Graylog

Graylog a quatre composants principaux:

1.Graylog Server: reçoit et traite les messages et communique avec tous les autres
composants

2.Elasticsearch: gére l'indexation et la recherche de données.

1.MongoDB: stocke les métadonnées et ne subit pas beaucoup de charge.

2.Interface Web: l'interface utilisateur.

10
Installation et configuration

11
Installation

Graylog peut être installé de différentes manières:

o Paquets de système d'exploitation

o Installation d'Ubuntu
o Installation de Debian
o Installation de CentOS
o Installation SLES

o Docker

12
Installation
Conditions préalables

Graylog 4.3 requiert les éléments suivants pour maintenir la compatibilité avec ses dépendances
logicielles :

 OpenJDK (17 ou 11 )
 Elasticsearch 7.10.2 OU OpenSearch 2.x
 MongoDB (5.x ou 6.x)

Déployez un serveur Ubuntu 20.04 entièrement mis à jour avec au moins 4 Go de RAM .

13
Installation
OpenJDK

$ sudo apt -y install bash-completion apt-transport-https uuid-runtime pwgen

openjdk-17-jre-headless

14
Installation
Elasticsearch

• Importez la clé de signature Elasticsearch PGP.

$ wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -

• Ajoutez le référentiel Elasticsearch.

$ echo "deb https://artifacts.elastic.co/packages/oss-7.x/apt stable main" | sudo

tee -a /etc/apt/sources.list.d/elastic-6.x.list

• Installez Elasticsearch.
$ sudo apt -y install elasticsearch-oss

15
Configuration
Elasticsearch

$ sudo nano /etc/elasticsearch/elasticsearch.yml

• Ajoutez ces deux lignes à la fin du fichier:

16
Installation
MongoDB

• Installez le serveur MongoDB:

$ sudo apt install mongodb-server -y

• Activez le service MongoDB pour qu'il démarre au démarrage du système:

$ sudo systemctl enable mongodb

• Démarrez le service MongoDB:

$ sudo systemctl start mongodb

17
Installation
Graylog
• Ajoutez le référentiel Graylog.

$ wget https://packages.graylog2.org/repo/packages/graylog-4.3-repository_latest.deb

• Installez le package de serveur Graylog

sudo dpkg -i graylog-4.3-repository_latest.deb

• Installez Graylog.

$ sudo apt -y install graylog-server

18
Configuration
Graylog

 Choisir un mot de passe fort pour votre compte administrateur et générez un hachage de 64
caractères. Par exemple:

$ echo -n StrongPassword | sha256sum

 Modifier le fichier de configuration Graylog: nano /etc/graylog/server/server.conf

19
Configuration
Graylog

 Metter à jour root_username

 Mettez à jour http_bind_address

20
Configuration
Graylog

 Redémarrez le démon système.

$ sudo systemctl daemon-reload

 Redémarrez le service Graylog.

$ sudo systemctl restart graylog-server

 Activez le service Graylog pour qu'il s'exécute au démarrage du

système.
$ sudo systemctl enable graylog-server

21
Les agents du Graylog

22
Agent Graylog

est un agent autonome qui envoie des données de journal à Graylog Cloud
ou à un cluster Graylog Server sur site.

 AGENT LINUX GRAYLOG

• Filebeat
• nxlog

 AGENT WINDOWS GRAYLOG

• Filebeat
• Nxlog
• winlogbeat

23
Agent Graylog
Agent Windows Graylog

• Téléchargez l'agent NXlog pour Windows à partir

de https://nxlog.co/products/nxlog-community-edition/download

• Installer l'agent NXlog

• créer un input
System > Input

24
Agent Graylog
Agent Windows Graylog

25
Agent Graylog
Agent Windows Graylog

• Modifier la configuration NXlog

26
Agent Graylog
Agent linux Graylog

Graylog Sidecar est un cadre de gestion de configuration agile pour divers collecteurs
de journaux appelés backends

27
Agent Graylog
Agent linux Graylog

• Installer la configuration du référentiel Graylog Sidecar et Graylog Sidecar lui-

même avec les commandes suivantes :

$ wget https://packages.graylog2.org/repo/packages/graylog-sidecar-
repository_1-2_all.deb
$ sudo dpkg -i graylog-sidecar-repository_1-2_all.deb
$ sudo apt-get update && sudo apt-get install graylog-sidecar

• Modifier la configuration (voir Configuration ) et activez le Sidecar en tant

que service système :
$ vi /etc/graylog/sidecar/sidecar.yml
$ sudo graylog-sidecar -service install
$ sudo start graylog-sidecar
$ sudo systemctl enable graylog-sidecar
$ sudo systemctl start graylog-sidecar
28
Agent Graylog
Agent linux Graylog

Configurer votre entrée pour recevoir les journaux Windows Sidecar sur le
port 5044

29
Agent Graylog
Agent linux Graylog

• Installation des collecteurs sous linux par exemple filebeat

• Configuration du side-car

30
Agent Graylog
Agent linux Graylog

31
Agent Graylog
Agent linux Graylog
Modifier fichier de configuration de sidecar

32
Agent Graylog
Agent linux Graylog

33
Agent Graylog
Agent linux Graylog

34
Agent Graylog
Agent linux Graylog

35
Agent Graylog
Agent linux Graylog

36
Autre méthode pour collecter les journaux sur linux

Rsyslog
Rsyslog est un logiciel libre utilisé sur des systèmes d'exploitation de type Unix transférant les
messages des journaux d'événements sur un réseau IP.

• Modifier fichier de configuration Rsyslog

37
méthode pour collecter les journaux sur linux
sans agent
Rsyslog
Rsyslog est un logiciel libre utilisé sur des systèmes d'exploitation de type Unix transférant les
messages des journaux d'événements sur un réseau IP.

• Modifier fichier de configuration Rsyslog

38
Les fonctionnalités du graylog

39
Les fonctionnalités du graylog

Search : tous les messages apparaissent ici, il est aussi possible d’en
rechercher spécifiquement

Streams : Permet de créer des flux, afin de filtrer les messages entrants, et donc
pouvoir ne donner les droits à un utilisateur que sur certains flux et non toute la
base, mais aussi créer des alertes, forwarder les messages entrants etc. C’est la
base pour la gestion des droits sur graylog.
Par exemple stream « create_user» :

40
Les fonctionnalités du graylog

Alerts : Permet de crée des alertes( par exemple envoi des notifications par
mail)

41
Les fonctionnalités du graylog

Dasboard : Pages d’accueils en widget permettant d’afficher des résumés

d’informations sur un Stream, ou une recherche. On peut aussi donner les
droits à un utilisateur que sur certains dashboard.

42
Les fonctionnalités du graylog

Sources : Vue d’ensemble des sources des messages entrants.

•Overview : vue d’ensemble de l’état du système.

•Nodes : affiche l’état du cluster graylog et des nœuds le composant.
•Inputs : permet d’ouvrir des flux en acceptant les messages entrants suivant certains
protocoles/ports.

•Output : Permet de Forwarder(Transférer) des messages (d’un stream, etc.) vers un autre
nœud ou équipement, etc (nous n’y utiliserons pas).

•Collectors : Les graylog-collector (agent java léger développé par l’équipe graylog à installer sur
des OS utilisé pour transmettre les logs à graylog),

43
Les fonctionnalités du graylog

•Collectors : Les graylog-collector (agent java léger développé par l’équipe graylog à installer sur
des OS utilisé pour transmettre les logs à graylog),

44
Les fonctionnalités du graylog

•Logging : configure la politique de journalisation des activités du système graylog.

•Users : permet de gérer les utilisateurs/droits.

45
Graylog https

46
Graylog https

sécuriser l’installation Graylog à l'aide de SSL/TLS pour vous assurer

qu'aucune donnée sensible n'est envoyée sur le réseau en texte brut

Génération du certificat :
Vérifier que le certificat soit valide pour le nom DNS et pour l’adresse IP

#nano openssl-
graylog.cnf

47
Graylog https
Géneration du certificat

• Génération du certificat au format x.509 et la clé privé au format

PKSC#5 :

$ openssl req -x509 -days 365 -nodes -newkey rsa:2048 -config openssl-graylog.cnf -keyout
pkcs5-privatekey.pem -out graylog-certificate.pem

• Graylog ne prend en compte que les clés privées au format PKCS#8. Nous
allons convertir la clé privée en ce format :

$ openssl pkcs8 -in pkcs5-privatekey.pem -topk8 -nocrypt -out graylog-

privatekey.pem (permet de convertir la clé privée sans protection par mot de passe)

48
Graylog https
Génération du certificat

• créer un dossier “certificates” dans le répertoire de Graylog afin que

Graylog puisse lire les certificats sans avoir de problèmes :

# mkdir /etc/graylog/server/certificates

• déplacer les certificats dans le nouveau dossier :

# mv graylog-* /etc/graylog/server/certificates/

49
Graylog https

Modification de la configuration de GRAYLOG:

50
Graylog https

Si on s’arrête là notre Graylog fonctionnera bien en HTTPS. Cependant les

composants comme les Inputs, Pipelines (API) etc… eux ne fonctionneront pas.

• importer notre certificat dans le java keystore :

# keytool -importcert -keystore /usr/lib/jvm/java-17openjdk-17 . 252.b09-

2.el7_8.x86_64/jre/lib/security/cacerts -alias graylog-selfsigned-certificate -file
/etc/graylog/server/certificates/graylog-certificate.pem

# systemctl restart graylog-server

51
Graylog https

52
Exemples d’attaques

53
Exemples d’attaques

exemple d’Attaque par force brute

o Attaque

54
Exemples d’attaques

Détection d’Attaque par graylog

55
Exemples d’attaques

Détection l’ajout d’un nouveau utilisateur en machine

windows

56
Exemples d’attaques

Détection l’ajout d’un nouveau utilisateur en machine

windows

57
Exemples d’attaques

Détection l’ajout d’un nouveau utilisateur en machine

windows

58
Exemples d’attaques

Détection l’ajout d’un nouveau utilisateur en machine

windows

59
 Conclusion
• Graylog est donc un outil puissant est modulable , qui permet de s’adapter à beaucoup
d’équipements, et différents infrastructures
• Son interface est claire et rapide à utiliser , elle permet aussi de mettre en avant les informations
jugées importantes