Graylog - Méthodologie

Qui va utiliser Graylog ?

  • Adapté les outils aux profils techniques
  • Gestion des droits d'accès

Quelles données collecter ?

Approche minimaliste (uniquement ce qui est nécessaire)

Pour : - économique - moins de bruit

Contre : - risque de manquer des éléments

Approche maximaliste (tout est collecté)

Pour : - utilise dans le cas d'investigation

Contre : - coûts financier (stockage) et humain élevés (analyse)

Politique de rétention des données

  • Définir la durée de rétention pour :

    • les données en ligne
    • les données archivées

  • Règle de calcul : volume de données par jour X nombre de jour de rétention X 1,3

Pour 5 gio de données conservées 90 jours il faut prévoir 5 x 90 x 1,3 = 585 gio

Découverte de l'interface

  • Permet de faire une recherche dans les journaux
  • Les recherches peuvent être sauvegardées ou utilisée dans les tableaux de bord

Streams

  • Permet de marquer les messages afin de les router vers une catégorie.
  • Permet d'envoyer les messages vers un ou plusieurs index selon la politique de rétention des données
  • Permet d'envoyer une alerte en temps réel

Alerts

  • Permet d'envoyer une alerte par email ou autres (slack...) lorsqu'une ou plusieurs conditions sont remplies (valeur, somme, seuil...)

Dashboards

  • Permet de créer des tableaux de bord à destination des différent utilisateurs.

Systems

Inputs

  • Permet de créer les ports d'entrées des journaux extérieurs (syslog, GELF)

Index

  • Les index sont créés en fonction de la durée de rétention des journaux