Bonjour à tous,
 
Dans le cadre de mon alternance en tant qu'administrateur système, je dois mettre en place une plateforme de centralisation/gestion des logs.
 
Les objectifs : -Un serveur syslog qui doit récupérer les logs, les stocker dans une BDD et avoir une interface web "simple"
-Filtrage des logs + alerte par mail ou envoie vers serveur Nagios
 
Les cibles : -300 PC, Windows 7
-20 Serveurs Linux
-20 switchs
 
Je suis donc en train de chercher 2-3 solutions open source pouvant répondre à ce projet.
 
Mes résultats : -Graylog + NxLog
-ELK
-RSyslog (?)
 
J'aimerai avoir vos avis / retours.
 
-Existe-t-il d'autres solutions pouvant répondre à ce projet ?
-Avez-vous déjà utilisé une de ces solutions ? Est-ce facile / complexe ? Utile ?
-Si oui, avez-vous des tutoriels/ sites pour mettre en place cette solution ?
 
Je vous remercie par avance de vos retours.
 
Bonne journée,
Sébastien, un jeune apprenti de 21 ans en Licence pro réseaux d'entreprises.

Ce sujet a été déplacé de la catégorie Windows & Software vers la categorie Linux et OS Alternatifs par Je@nb

J'ai monté un cluster Graylog pour ma boite et j'en suis très content.

A mes débuts c'était un peu galère a installer, mais ils ont fait beaucoup de progrès depuis.

Ce qui est facile:
- installation
- mise à jour
- administration

La où tu auras le plus de boulot:
- parser les logs pour en extraire les données intéressantes (Graylog propose différente solutions pour ça. Tu peux aussi utiliser Logstash et envoyer les logs "parsés" avec l'output GELF de logstash. GELF est un format de log inventé par et pour graylog).
- Tuner ton cluster Elasticsearch. Je te conseille d'utiliser des disques SSD pour tes serveurs Elasticsearch, et de ne pas faire tourner d'autre application sur ces serveurs

Mon setup Graylog ressemble au 2ème exemple de cette doc: http://docs.graylog.org/en/2.1/pages/architecture.html
- 3 serveurs Graylog (8 core Xeon,32GB RAM, SSD RAID1)
- 1 serveur pour le load balancing + mongodb (pas forcément nécessaire d'avoir un serveur dédié pour ça)
- 7 serveurs pour Elasticsearch (480 GB SSD en RAID 0, 64GB RAM, 8 core CPU)

Avec ce setup je reçois 5K messages/s je store 800M de logs.
La taille de des HDD pour Elasticsearch dépend de:
- combien de logs ton cluster recoit
- la taille de tes logs
- combien de temps tu veux les sauvegarder

Pour les alertes va faire un tour sur le marketplace, tu trouveras ton bonheur: https://marketplace.graylog.org/addons?search=alert
Par défaut tu peux générerdes alertes mails. Il y a plein de plugins pour Slack, Sensu, Nagios, etc.

Tu peux également configurer une output Graylog pour envoyer certains logs vers d'autres applications: https://marketplace.graylog.org/addons?search=output

Ca te demanderas un certain temps pour te familiariser avec Elasticsearch et intégrer ton parc info, mais personnellement j'ai trouvé ça super fun.

Pour plus d'infos ou support:
http://docs.graylog.org/en/2.2/
https://community.graylog.org/t/wel [...] g-forum/39 (forum tout neuf)
https://www.graylog.org/community-support (la channel IRC est bien pratique pour une aide ponctuelle)

Voilà, j'espère avoir répondu à tes questions. Have fun!

Utilité de remonter les logs des PC clients ?
 
Mise plutôt sur les logs des serveurs pour ton serveur.
Les remontées d'alertes des switchs et des imprimantes (que tu n'as pas mis dans ta liste) directement dans Nagios.