https://wiki.kogite.fr/index.php?action=history&feed=atom&title=Rsyslog-Graylog-Elasticsearch
Rsyslog-Graylog-Elasticsearch - Historique des versions
2026-06-22T14:53:39Z
Historique des versions pour cette page sur le wiki
MediaWiki 1.30.0
https://wiki.kogite.fr/index.php?title=Rsyslog-Graylog-Elasticsearch&diff=6415&oldid=prev
Frank : /* Installation */
2016-01-13T17:57:56Z
<p><span dir="auto"><span class="autocomment">Installation</span></span></p>
<table class="diff diff-contentalign-left" data-mw="interface">
<col class="diff-marker" />
<col class="diff-content" />
<col class="diff-marker" />
<col class="diff-content" />
<tr style="vertical-align: top;" lang="fr">
<td colspan="2" style="background-color: white; color:black; text-align: center;">← Version précédente</td>
<td colspan="2" style="background-color: white; color:black; text-align: center;">Version du 13 janvier 2016 à 17:57</td>
</tr><tr><td colspan="2" class="diff-lineno" id="mw-diff-left-l214" >Ligne 214 :</td>
<td colspan="2" class="diff-lineno">Ligne 214 :</td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>et exclure local4 de messages</div></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>et exclure local4 de messages</div></td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>  *.info;mail.none;authpriv.none;cron.none:local4.none                /var/log/messages</div></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>  *.info;mail.none;authpriv.none;cron.none:local4.none                /var/log/messages</div></td></tr>
<tr><td class='diff-marker'>−</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>service syslog stop</div></td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div> </div></td></tr>
<tr><td class='diff-marker'>−</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>service rsyslog restart</div></td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline"> </ins>service syslog stop</div></td></tr>
<tr><td class='diff-marker'>−</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>chkconfig syslog off</div></td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline"> </ins>service rsyslog restart</div></td></tr>
<tr><td class='diff-marker'>−</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>chkconfig rsyslog on</div></td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline"> </ins>chkconfig syslog off</div></td></tr>
<tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline"> </ins>chkconfig rsyslog on</div></td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"></td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>Importer le fichier de dépôt rsyslog</div></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>Importer le fichier de dépôt rsyslog</div></td></tr>
</table>
Frank
https://wiki.kogite.fr/index.php?title=Rsyslog-Graylog-Elasticsearch&diff=6414&oldid=prev
Frank : /* Installation */
2016-01-13T17:57:22Z
<p><span dir="auto"><span class="autocomment">Installation</span></span></p>
<table class="diff diff-contentalign-left" data-mw="interface">
<col class="diff-marker" />
<col class="diff-content" />
<col class="diff-marker" />
<col class="diff-content" />
<tr style="vertical-align: top;" lang="fr">
<td colspan="2" style="background-color: white; color:black; text-align: center;">← Version précédente</td>
<td colspan="2" style="background-color: white; color:black; text-align: center;">Version du 13 janvier 2016 à 17:57</td>
</tr><tr><td colspan="2" class="diff-lineno" id="mw-diff-left-l207" >Ligne 207 :</td>
<td colspan="2" class="diff-lineno">Ligne 207 :</td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>=== Installation ===</div></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>=== Installation ===</div></td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"></td></tr>
<tr><td class='diff-marker'>−</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>yum install rsyslog</div></td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline"> </ins>yum install rsyslog</div></td></tr>
<tr><td class='diff-marker'>−</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>mkdir /etc/rsyslog.d</div></td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline"> </ins>mkdir /etc/rsyslog.d</div></td></tr>
<tr><td class='diff-marker'>−</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>vi /etc/rsyslog.conf</div></td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline"> </ins>vi /etc/rsyslog.conf</div></td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>ajouter si ça n'y est pas :</div></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>ajouter si ça n'y est pas :</div></td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>   $IncludeConfig /etc/rsyslog.d/*.conf</div></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>   $IncludeConfig /etc/rsyslog.d/*.conf</div></td></tr>
<tr><td colspan="2" class="diff-lineno" id="mw-diff-left-l233" >Ligne 233 :</td>
<td colspan="2" class="diff-lineno">Ligne 233 :</td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>yum install rsyslog --enablerepo=rsyslog-v8-stable</div></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>yum install rsyslog --enablerepo=rsyslog-v8-stable</div></td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div></syntaxhighlight></div></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div></syntaxhighlight></div></td></tr>
<tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;"></ins></div></td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>=== Configuration ===</div></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>=== Configuration ===</div></td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div><syntaxhighlight lang=bash enclose="div"></div></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div><syntaxhighlight lang=bash enclose="div"></div></td></tr>
</table>
Frank
https://wiki.kogite.fr/index.php?title=Rsyslog-Graylog-Elasticsearch&diff=6413&oldid=prev
Frank le 13 janvier 2016 à 17:56
2016-01-13T17:56:42Z
<p></p>
<table class="diff diff-contentalign-left" data-mw="interface">
<col class="diff-marker" />
<col class="diff-content" />
<col class="diff-marker" />
<col class="diff-content" />
<tr style="vertical-align: top;" lang="fr">
<td colspan="2" style="background-color: white; color:black; text-align: center;">← Version précédente</td>
<td colspan="2" style="background-color: white; color:black; text-align: center;">Version du 13 janvier 2016 à 17:56</td>
</tr><tr><td colspan="2" class="diff-lineno" id="mw-diff-left-l202" >Ligne 202 :</td>
<td colspan="2" class="diff-lineno">Ligne 202 :</td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>'''NOTE''' : on ne peut pas utiliser le port par défaut 514 car il faut être root pour binder un port < 1024, et ce n'est pas conseillé de lancer graylog en root !</div></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>'''NOTE''' : on ne peut pas utiliser le port par défaut 514 car il faut être root pour binder un port < 1024, et ce n'est pas conseillé de lancer graylog en root !</div></td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"></td></tr>
<tr><td class='diff-marker'>−</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div><del class="diffchange diffchange-inline">=</del>== RSYSLOG <del class="diffchange diffchange-inline">=</del>==</div></td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div>== RSYSLOG ==</div></td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>Rsyslog sera installé à la place de Syslogd sur les système qui ne l'ont pas par défaut, ou mis à jour en V8 sur les autres. Il enverra les logs vers Graylog.</div></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>Rsyslog sera installé à la place de Syslogd sur les système qui ne l'ont pas par défaut, ou mis à jour en V8 sur les autres. Il enverra les logs vers Graylog.</div></td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"></td></tr>
</table>
Frank
https://wiki.kogite.fr/index.php?title=Rsyslog-Graylog-Elasticsearch&diff=6374&oldid=prev
Frank le 26 octobre 2015 à 11:56
2015-10-26T11:56:35Z
<p></p>
<table class="diff diff-contentalign-left" data-mw="interface">
<col class="diff-marker" />
<col class="diff-content" />
<col class="diff-marker" />
<col class="diff-content" />
<tr style="vertical-align: top;" lang="fr">
<td colspan="2" style="background-color: white; color:black; text-align: center;">← Version précédente</td>
<td colspan="2" style="background-color: white; color:black; text-align: center;">Version du 26 octobre 2015 à 11:56</td>
</tr><tr><td colspan="2" class="diff-lineno" id="mw-diff-left-l14" >Ligne 14 :</td>
<td colspan="2" class="diff-lineno">Ligne 14 :</td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>Pré-requis :</div></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>Pré-requis :</div></td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div><syntaxhighlight lang=bash enclose="div"></div></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div><syntaxhighlight lang=bash enclose="div"></div></td></tr>
<tr><td class='diff-marker'>−</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div><del class="diffchange diffchange-inline"> </del>yum install screen wget</div></td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div>yum install screen wget <ins class="diffchange diffchange-inline">ntp ntpdate</ins></div></td></tr>
<tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">systemctl enable ntpd</ins></div></td></tr>
<tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color:black; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins class="diffchange diffchange-inline">systemctl start ntpd</ins></div></td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div></syntaxhighlight></div></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div></syntaxhighlight></div></td></tr>
<tr><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>== ELASTICSEARCH  ==</div></td><td class='diff-marker'> </td><td style="background-color: #f9f9f9; color: #333333; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #e6e6e6; vertical-align: top; white-space: pre-wrap;"><div>== ELASTICSEARCH  ==</div></td></tr>
</table>
Frank
https://wiki.kogite.fr/index.php?title=Rsyslog-Graylog-Elasticsearch&diff=6373&oldid=prev
Frank : Page créée avec « = Installation de Graylog2/Elascticsearch sur CentOS 7 = Rsyslog sera utilisé pour envoyer les logs à partir des serveurs == Composants == 1. MongoDB – Stores the con... »
2015-10-23T17:25:43Z
<p>Page créée avec « = Installation de Graylog2/Elascticsearch sur CentOS 7 = Rsyslog sera utilisé pour envoyer les logs à partir des serveurs == Composants == 1. MongoDB – Stores the con... »</p>
<p><b>Nouvelle page</b></p><div>= Installation de Graylog2/Elascticsearch sur CentOS 7 =<br />
Rsyslog sera utilisé pour envoyer les logs à partir des serveurs<br />
<br />
== Composants ==<br />
1. MongoDB – Stores the configurations and meta information.<br />
<br />
2. Elasticsearch – Stores the log messages and offers a searching facility, nodes should have high memory as all the I/O operations are happens here.<br />
<br />
3. GrayLog – Log parser, it collect the logs from various inputs.<br />
<br />
4. GrayLog Web interface = provides you the web-based portal for managing the logs.<br />
<br />
<br />
Pré-requis :<br />
<syntaxhighlight lang=bash enclose="div"><br />
yum install screen wget<br />
</syntaxhighlight><br />
== ELASTICSEARCH ==<br />
Elasticsearch stockera les lignes de logs en provenance des serveurs.<br />
<br />
=== Installation ===<br />
Installer Oracle jdk :<br />
<syntaxhighlight lang=bash enclose="div"><br />
wget --no-check-certificate --no-cookies --header "Cookie: oraclelicense=accept-securebackup-cookie" http://download.oracle.com/otn-pub/java/jdk/8u11-b12/jdk-8u11-linux-x64.tar.gz<br />
tar -zxvf jdk-8u11-linux-x64.tar.gz<br />
mv jdk1.8.0_11/ /usr/<br />
<br />
/usr/sbin/alternatives --install /usr/bin/java java /usr/jdk1.8.0_11/bin/java 2<br />
/usr/sbin/alternatives --config java<br />
Selectionner le dernier java<br />
</syntaxhighlight><br />
Vérifier que la version installée est bien prise en compte :<br />
<syntaxhighlight lang=bash enclose="div">java -version</syntaxhighlight><br />
<br />
[[Dépôts_complémentaires|Installer le dépôt EPEL]]<br />
<br />
'''ATTENTION''' pour centos7, bizarrement le rpm met la clé centos6 dans epel.repo. Donc : <br />
vi /etc/yum.repos.d/epel.repo<br />
modifier '''RPM-GPG-KEY-EPEL-6''' par '''RPM-GPG-KEY-EPEL-7'''<br />
<br />
<br />
Importer la clé et créer le fichier de dépôt Elasticsearch :<br />
<syntaxhighlight lang=bash enclose="div"><br />
rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch<br />
vi /etc/yum.repos.d/elasticsearch.repo<br />
</syntaxhighlight><br />
[elasticsearch-1.7]<br />
name=Elasticsearch repository for 1.7.x packages<br />
baseurl=http://packages.elastic.co/elasticsearch/1.7/centos<br />
gpgcheck=1<br />
gpgkey=http://packages.elastic.co/GPG-KEY-elasticsearch<br />
enabled=1<br />
<br />
<syntaxhighlight lang=bash enclose="div"><br />
yum install elasticsearch<br />
</syntaxhighlight><br />
<br />
FORCER Elascticsearch A ECOUTER SUR IPV4 !<br />
<syntaxhighlight lang=bash enclose="div"><br />
vi /etc/systemd/system/multi-user.target.wants/elasticsearch.service<br />
</syntaxhighlight><br />
ajouter : " -Djava.net.preferIPv4Stack=true" à la fin de la ligne ExecStart (comme les "-D" déjà existants, ne pas oublier d'ajouter un "\" a la ligne du dessus)<br />
<br />
=== Configuration ===<br />
<syntaxhighlight lang=bash enclose="div"><br />
vi /etc/elasticsearch/elasticsearch.yml<br />
</syntaxhighlight><br />
Modifier :<br />
cluster.name: graylog2<br />
# limiter les connexions à localhost, tout est sur le même serveur<br />
network.host: 127.0.0.1<br />
# important, ces 2 lignes lues par Graylog qui ne sait pas les lire dans son propre .conf !! :<br />
discovery.zen.ping.multicast.enabled: false<br />
discovery.zen.ping.unicast.hosts: ["localhost"]<br />
et ajouter à la fin du fichier :<br />
script.disable_dynamic: true<br />
Modifier éventuellement le chemin des bases :<br />
path.data: /home/elasticsearch/data<br />
<br />
Activer et charger le tout :<br />
<syntaxhighlight lang=bash enclose="div"><br />
systemctl daemon-reload<br />
systemctl enable elasticsearch.service<br />
systemctl restart elasticsearch.service<br />
</syntaxhighlight><br />
Tester l'accès :<br />
<syntaxhighlight lang=bash enclose="div"><br />
curl -X GET http://localhost:9200<br />
</syntaxhighlight><br />
{<br />
"status" : 200,<br />
"name" : "Glob Herman",<br />
"cluster_name" : "graylog2",<br />
"version" : {<br />
"number" : "1.7.2",<br />
"build_hash" : "e43676b1385b8125d647f593f7202acbd816e8ec",<br />
"build_timestamp" : "2015-09-14T09:49:53Z",<br />
"build_snapshot" : false,<br />
"lucene_version" : "4.10.4"<br />
},<br />
"tagline" : "You Know, for Search"<br />
}<br />
<br />
== MONGODB ==<br />
MongDB stockera uniquement les paramètres de Graylog.<br />
<br />
=== Installation ===<br />
Créer le fichier de dépôt :<br />
<syntaxhighlight lang=bash enclose="div"><br />
vi /etc/yum.repos.d/mongodb-org-3.0.repo<br />
</syntaxhighlight><br />
[mongodb-org-3.0]<br />
name=MongoDB Repository<br />
baseurl=http://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/3.0/x86_64/<br />
gpgcheck=0<br />
enabled=1<br />
<syntaxhighlight lang=bash enclose="div"><br />
yum install mongodb-org<br />
chkconfig mongod on #(pas encore de fichier d'init systemd)<br />
systemctl start mongod<br />
</syntaxhighlight><br />
<br />
== GRAYLOG2 ==<br />
Graylog receptionnera les logs en provenance des rsyslog et les enverra vers Elasticsearch<br />
<br />
=== Installation ===<br />
Importer le fichier de dépôt et installer le rpm :<br />
<syntaxhighlight lang=bash enclose="div"><br />
rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-1.2-repository-el7_latest.rpm<br />
yum install graylog-server<br />
</syntaxhighlight><br />
Générer une passphrase :<br />
<syntaxhighlight lang=bash enclose="div"><br />
yum install pwgen --enablerepo=epel<br />
pwgen -N 1 -s 96 # Copier la phrase<br />
</syntaxhighlight><br />
Puis récupérer le SHA d'un mot de passe pour l'admin Graylog (à ne pas confondre avec le "root" du système)<br />
<syntaxhighlight lang=bash enclose="div"><br />
echo -n mot_de_passe_admin_graylog | sha256sum # Copier le SHA<br />
</syntaxhighlight><br />
<br />
=== Configuration ===<br />
<syntaxhighlight lang=bash enclose="div"><br />
vi /etc/graylog/server/server.conf<br />
</syntaxhighlight><br />
Mettre la première phrase sur "password_secret =", et le SHA sur "root_password_sha2 ="<br />
<br />
Modifier<br />
root_email = "admin@domain.com"<br />
root_timezone = Europe/Paris<br />
elasticsearch_shards = 1<br />
# Limiter à localhost (seule l'interface web a besoin de s'y connecter) :<br />
rest_transport_uri = http://127.0.0.1:12900/<br />
# Retention 1 index par semaine, 52 semaines (à valider sur un an):<br />
rotation_strategy = time<br />
#elasticsearch_max_docs_per_index = 20000000 # '''commenter'''<br />
elasticsearch_max_time_per_index = 7d # à vérifier "1w" pas pris en compte ?<br />
elasticsearch_max_number_of_indices = 52<br />
# Décommenter au cas où (ligne déjà existantes dans elasticsearch.yml, qui sera relu par Graylog) :<br />
elasticsearch_discovery_zen_ping_multicast_enabled = false<br />
elasticsearch_discovery_zen_ping_unicast_hosts = localhost:9300<br />
<br />
<syntaxhighlight lang=bash enclose="div"><br />
systemctl restart graylog-server<br />
</syntaxhighlight><br />
Vérifier s'il y a des erreurs :<br />
<syntaxhighlight lang=bash enclose="div"><br />
tailf /var/log/graylog-server/server.log<br />
</syntaxhighlight><br />
on doit avoir vers la fin : "2015-10-10T13:07:16.078+02:00 INFO [ServerBootstrap] '''Graylog server up and running'''."<br />
<br />
== GRAYLOG WEB INTERFACE ==<br />
=== Installation ===<br />
<syntaxhighlight lang=bash enclose="div"><br />
yum install graylog-web<br />
pwgen -N 1 -s 96 # Générer une nouvelle passphrase<br />
vi /etc/graylog/web/web.conf<br />
</syntaxhighlight><br />
ajouter l'URI du serveur Graylog :<br />
graylog2-server.uris="http://127.0.0.1:12900/"<br />
Coller la passphrase sur "application.secret="<br />
<br />
Relancer l'interface<br />
<syntaxhighlight lang=bash enclose="div"><br />
systemctl restart graylog-web<br />
</syntaxhighlight><br />
et s'y connecter : http://<serveur-log>:9000. <br />
<br />
Dans l'interface, configurer une input pour syslog dans '''system > inputs'''<br />
<br />
sélectionner syslog UDP (ou TCP) et cliquer "launch new input"<br />
<br />
Dans la fenêtre qui s'ouvre, donner :<br />
le titre "Syslog"<br />
port 5514<br />
bind_IP l'ip du serveur graylog<br />
FORCER RDNS car les messages syslog ne contiennent pas toujours le hostname mais l'ip<br />
et cliquer sur "launch"<br />
<br />
'''NOTE''' : on ne peut pas utiliser le port par défaut 514 car il faut être root pour binder un port < 1024, et ce n'est pas conseillé de lancer graylog en root !<br />
<br />
=== RSYSLOG ===<br />
Rsyslog sera installé à la place de Syslogd sur les système qui ne l'ont pas par défaut, ou mis à jour en V8 sur les autres. Il enverra les logs vers Graylog.<br />
<br />
=== Installation ===<br />
<br />
yum install rsyslog<br />
mkdir /etc/rsyslog.d<br />
vi /etc/rsyslog.conf<br />
ajouter si ça n'y est pas :<br />
$IncludeConfig /etc/rsyslog.d/*.conf<br />
et exclure local4 de messages<br />
*.info;mail.none;authpriv.none;cron.none:local4.none /var/log/messages<br />
service syslog stop<br />
service rsyslog restart<br />
chkconfig syslog off<br />
chkconfig rsyslog on<br />
<br />
Importer le fichier de dépôt rsyslog<br />
<syntaxhighlight lang=bash enclose="div"><br />
vi /etc/yum.repos.d/rsyslog.repo<br />
</syntaxhighlight><br />
[rsyslog-v8-stable]<br />
name=Adiscon Rsyslog v8-stable for CentOS-$releasever-$basearch<br />
baseurl=http://rpms.adiscon.com/v8-stable/epel-$releasever/$basearch<br />
enabled=0<br />
gpgcheck=0<br />
protect=1<br />
Et installer :<br />
<syntaxhighlight lang=bash enclose="div"><br />
yum install rsyslog --enablerepo=rsyslog-v8-stable<br />
</syntaxhighlight><br />
=== Configuration ===<br />
<syntaxhighlight lang=bash enclose="div"><br />
vi /etc/rsyslog.d/90-graylog2.conf<br />
</syntaxhighlight><br />
# Template de mise en forme au format Graylog des logs envoyés. La propriété "syslogtag" a été ajoutée au message.<br />
$template GRAYLOGRFC5424,"<%PRI%>%PROTOCOL-VERSION% %TIMESTAMP:::date-rfc3339% %HOSTNAME% %APP-NAME% %PROCID% %MSGID% %STRUCTURED-DATA% %syslogtag% %msg%\n"<br />
# Quelques filtres<br />
:programname, isequal, "cced(smd)" stop<br />
:msg, contains, "(127.0.0.1[127.0.0.1]) - FTP session closed." stop<br />
# Envoi des données. Les logs Apache sont formatés différemment, par un template à part.<br />
kern.* @<IP du serveur Graylog>:5514;GRAYLOGRFC5424<br />
*.info;mail.none;cron.none;local4.none @<IP du serveur Graylog>:5514;GRAYLOGRFC5424<br />
local4.* @<IP du serveur Graylog>:5514;TagApacheLog<br />
<br />
Pour d'autres logs que le système :<br />
<syntaxhighlight lang=bash enclose="div"><br />
vi /etc/rsyslog.d/10-http-graylog2.conf<br />
</syntaxhighlight><br />
* LOG APACHES UNIQUES<br />
# Forward apache logs to graylog2 server<br />
$template TagApacheLog,"<%PRI%>%PROTOCOL-VERSION% %TIMESTAMP:::date-rfc3339% %HOSTNAME% %APP-NAME% %PROCID% %MSGID% %STRUCTURED-DATA% %msg%\n"<br />
<br />
input (type="imfile"<br />
File="/var/log/httpd/access_log"<br />
Tag="ApacheAccessLog"<br />
Severity="info"<br />
Facility="local4"<br />
addMetadata="on"<br />
)<br />
<br />
input (type="imfile"<br />
File="/var/log/httpd/error_log"<br />
Tag="ApacheErrorLog"<br />
Severity="info"<br />
Facility="local4"<br />
addMetadata="on"<br />
)<br />
<br />
# Filtres AccessLog<br />
:msg, contains, "\"HEAD / HTTP/1.0\" 200 - \"-\" \"-\"" stop<br />
:msg, contains, "GET /seafhttp/repo" stop<br />
:msg, contains, "GET /api2/ping/ HTTP/1.1" stop<br />
:msg, contains, "GET /api2/unseen_messages/ HTTP/1.1" stop<br />
:msg, contains, "GET /api2/repos/ HTTP/1.1" stop<br />
:msg, contains, "GET /apc_info.php?auto HTTP/1.1" stop<br />
:msg, contains, "GET /server-status?auto HTTP/1.0" stop<br />
:msg, contains, "GET /server-status?auto HTTP/1.1" stop<br />
# Filtres ErrorLog<br />
:msg, contains, "client denied by server configuration: /var/www/html/server-status" stop<br />
<br />
* LOG APACHE MULTIPLES (traitement par wildcard)<br />
# Forward apache logs to graylog2 server<br />
if $!metadata!filename contains(".error.log") then {<br />
set $.tag = 'ErrorLog';<br />
} else {<br />
set $.tag = 'AccessLog';<br />
}<br />
$template TagApacheLog,"<%PRI%>%PROTOCOL-VERSION% %TIMESTAMP:::date-rfc3339% %HOSTNAME% %APP-NAME% %PROCID% %MSGID% %STRUCTURED-DATA% %$.tag% (%$!metadata!filename%): %msg%\n"<br />
<br />
input (type="imfile"<br />
File="/var/log/httpd/domains/*.log"<br />
Tag="ApacheLog"<br />
Severity="info"<br />
Facility="local4"<br />
addMetadata="on"<br />
)<br />
<br />
# Filtres AccessLog<br />
:msg, contains, "\"HEAD / HTTP/1.0\" 200 - \"-\" \"-\"" stop<br />
:msg, contains, "GET /seafhttp/repo" stop<br />
:msg, contains, "GET /api2/ping/ HTTP/1.1" stop<br />
:msg, contains, "GET /api2/unseen_messages/ HTTP/1.1" stop<br />
:msg, contains, "GET /api2/repos/ HTTP/1.1" stop<br />
:msg, contains, "GET /apc_info.php?auto HTTP/1.1" stop<br />
:msg, contains, "GET /server-status?auto HTTP/1.0" stop<br />
:msg, contains, "GET /server-status?auto HTTP/1.1" stop<br />
# Filtres ErrorLog<br />
:msg, contains, "client denied by server configuration: /var/www/html/server-status" stop<br />
<br />
<br />
Si pas déjà fait, ajouter local4.none dans /etc/syslog/conf pour éviter la double écriture des logs Apache dans /var/log/messages<br />
*.info;mail.none;authpriv.none;cron.none;local4.none /var/log/messages<br />
<br />
Relancer le service<br />
<syntaxhighlight lang=bash enclose="div"><br />
service rsyslog restart<br />
</syntaxhighlight><br />
== TIPS & TRICKS ==<br />
=== SUPPRIMER DES MESSAGES par l'API ElasticSearch ===<br />
<syntaxhighlight lang=bash enclose="div"><br />
curl -XDELETE 'http://localhost:9200/graylog2_0/message/_query?q=host:"<nom_du_serveur>"'<br />
</syntaxhighlight><br />
Ou pour tout supprimer :<br />
<syntaxhighlight lang=bash enclose="div"><br />
curl -XDELETE 'http://127.0.0.1:9200/graylog2_*/message/_query?q=host:*'<br />
</syntaxhighlight><br />
<br />
=== Vider la base Elasticsearch ===<br />
Pour tout supprimer après les tests par exemple, arrêter graylog-server et elasticsearch, supprimer tous les répertoires identifié sous la racine identifiée par "path.data". L'arborescence et les bases seront recréées au redémarrage.</div>
Frank