SlideShare uma empresa Scribd logo

Graylog: Parc info: OK! Datacenter: OK!

J
Johan THOMAS

Présentation faite le 8/11 pour @Min2Rien à Lille

Tecnologia
1 de 26
Centralisation de logs: Parc info & Data Center Retours d’expérience Johan THOMAS - johan.thomas@univ-rennes1.fr - @jothoma1 - Journée sécurité @Min2rien 08/11/2016 Lille
Sommaire 2 retours d’expérience de centralisation des logs 1 outil commun : Graylog • Parc informatique • Data Center universitaire -> Contexte -> Objectifs -> Réalisation -> Et la suite ??? Johan THOMAS - @jothoma1 2
La centralisation des logs Johan THOMAS - @jothoma1 3 ELK, Splunk, Graylog, etc Formats : GELF, JSON, etc Syslog-NG, PHP, mySQL, développement locaux, pas scalable, … Format : syslog
• SSI : législation, -> vrai politique de logs (durée d’exploitation, archivage), corrélation, contrôle d’accès aux logs, … • Reporting : Dashboards, amélioration continue, anticipation, réactivité, gestion de problèmes, alerting, … Permettre aux utilisateurs d’utiliser leurs données ! Les enjeux actuels de la centralisation des logs Johan THOMAS - @jothoma1 4
Retour n°1: Académie de Rennes Johan THOMAS - @jothoma1 5
Contexte: Rectorat d’académie de Rennes 2013… Migration vers Win 7 / Active Directory Sauvegarde des données, refonte des espaces Pas de gestion centralisée du poste Johan THOMAS - @jothoma1 6 Des changements importants : - dans l’organisation - dans l’expérience utilisateur
Les besoins • Du suivi ! (utilisation, déploiements) • Meilleure prise en compte des demandes • Réactivité dans l’assistance • Visibilité • Suivi • Tableaux de bord Johan THOMAS - @jothoma1 7 -> Centralisons les logs des postes de travail !
Comment ? Sur les postes ? Johan THOMAS - @jothoma1 8 • Besoin d’une interface sur le poste http://www.nxlog.org • Open Source • Branchement sur observateur événements • Packagé • Maintenance très simple • Modulaire • Multiplateformes
Comment ? Centralisation Johan THOMAS - @jothoma1 9 • Des milliers de postes • Des milliards de lignes d’informations • Des fonctionnalités (moteur de recherche, …) ELK ?? Splunk ?? Graylog ?? GELF | Graylog Extended Log Format
Pourquoi Graylog?? -> Fonctionnalités • A l’origine du format GELF • Gère complètement elasticsearch • Politique de rotation • Moteur de recherche • Alerte • Authentification / Rôles • Reporting (dashboards, facile d’accès) • Extrêmement performant • Extensible • Mature • INPUTs & OUTPUTs • Extracteurs Johan THOMAS - @jothoma1 10 • Archivage • Gestion des loggers • Marketplace (forte communauté) • API • Scalable • Simple à prendre en main • Etc.
Usage Rectorat d’Académie de Rennes • Migration Seven & Gestion AD • Suivi des erreurs login / mot de passe • Stockage : erreurs caractère spécial, nom de fichier trop long • Infection Virus • Déploiement applis et erreurs applicatives • Détection des erreurs disques • Assistance proactive Johan THOMAS - @jothoma1 11
Usage Rectorat d’Académie de Rennes • Moteur de recherche Johan THOMAS - @jothoma1 12
Usage Rectorat d’Académie de Rennes Johan THOMAS - @jothoma1 13 • Tableaux de bord
Usage Rectorat d’Académie de Rennes • Alertes Johan THOMAS - @jothoma1 14
Retour n°2: Université de Rennes 1 Johan THOMAS - @jothoma1 15
Contexte: DSI Université de Rennes 1 2016… • Solution centralisation vieillissante • Pas systématique • Politique de rétention ? • Pas d’exploitation des données • Utilisation complexe… Johan THOMAS - @jothoma1 16
Les objectifs 2016… • Refonte solution centralisation • Politique de rétention • Sécurité • Extension du périmètre • Les enjeux: • Sécurité • Conservation • Analyse & Reporting (indicateurs, dashboards) Johan THOMAS - @jothoma1 17
Pourquoi Graylog?? -> Fonctionnalités • A l’origine du format GELF • Gère complètement elasticsearch • Politique de rotation • Moteur de recherche • Alerte • Authentification / Rôles • Reporting (dashboards, facile d’accès) • Extrêmement performant • Extensible • Mature • INPUTs & OUTPUTs • Extracteurs Johan THOMAS - @jothoma1 18 • Archivage • Gestion des loggers • Marketplace (forte communauté) • API • Scalable • Simple à prendre en main • Etc.
Comment • UDP : Equipements réseaux • TCP : tout ce qui le supporte • Shippers : Rsyslog / Nxlog / Log4j / etc • Format Syslog lorsqu’on ne peut pas faire autrement • Formats JSON / GELF partout ailleurs • Formation / accompagnement des équipes Johan THOMAS - @jothoma1 19
Organisation • Briques techniques : • Outillage de gestion de conf (Puppet) -> serveurs / applications • Politique de rétention (elasticsearch) • Entièrement gérée dans Graylog. • 1 indice par jour / Max 105 (3 mois d’exploitation des logs) • Archivage pendant 1 an (soulagement cluster elasticsearch & coût de stockage) Graylog enterprise • Automatique ! • Branchement Référentiel d’identités Johan THOMAS - @jothoma1 20
Organisation Johan THOMAS - @jothoma1 21 Load Balancer Graylog Stratégie de rotation: 1 indice / jour Stratégie de rétention: Max: 105 indices Archivage externe puis suppression des indices dans Elasticsearch LOGS Elasticsearch Archivage Stockage SAN : disques rapides & coûteux 3 mois d’exploitation Disques lents & peu coûteux 9 mois de conservation (requête judiciaire) Reception / Cache Catégorisation Traitement INPUTS / OUTPUTS Alerting ACL UI API
Cas d’usages Johan THOMAS - @jothoma1 22
Cas d’usages Johan THOMAS - @jothoma1 23 Services « techniques » (httpd, mysql, radius, réseau, …) SSI Services fonctionnels
What’s Next ?? • Continuer l’extension de périmètre • Corrélation logs • Graph DB (neo4j) Johan THOMAS - @jothoma1 24
Conclusion • Adhésion des utilisateurs : création de valeur ajoutée avec leurs logs… • Graylog indispensable dans notre « outillage » • Visibilité à tous les niveaux • Une vrai conformité dans la politique de logs • Assistance proactive / réactivité accrue • Corrélation de logs • Nouveaux usages Johan THOMAS - @jothoma1 25
Merci ! johan.thomas@univ-rennes1.fr @jothoma1 Plus d’info : https://www.graylog.org Johan THOMAS - @jothoma1 26

Recomendados

Monitoring des Logs
Monitoring des LogsMonitoring des Logs
Monitoring des LogsSooyoos
 
Présentation de projet de fin d’étude diplôme d'ingénieur informatique esprit
Présentation de projet de fin d’étude diplôme d'ingénieur informatique esprit Présentation de projet de fin d’étude diplôme d'ingénieur informatique esprit
Présentation de projet de fin d’étude diplôme d'ingénieur informatique esprit Houssem Eddine Yahyaoui
 
Rapport stage
Rapport stageRapport stage
Rapport stageabir hadjkacem
 
ForwardJS 2017 - Fullstack end-to-end Test Automation with node.js
ForwardJS 2017 - Fullstack end-to-end Test Automation with node.jsForwardJS 2017 - Fullstack end-to-end Test Automation with node.js
ForwardJS 2017 - Fullstack end-to-end Test Automation with node.jsMek Srunyu Stittri
 
Node.js and Selenium Webdriver, a journey from the Java side
Node.js and Selenium Webdriver, a journey from the Java sideNode.js and Selenium Webdriver, a journey from the Java side
Node.js and Selenium Webdriver, a journey from the Java sideMek Srunyu Stittri
 
Web Test Automation with Selenium
Web Test Automation with SeleniumWeb Test Automation with Selenium
Web Test Automation with Seleniumvivek_prahlad
 
Selenium ppt
Selenium pptSelenium ppt
Selenium pptPavan Kumar
 
Test Automation Framework Designs
Test Automation Framework DesignsTest Automation Framework Designs
Test Automation Framework DesignsSauce Labs
 

Recomendados

Monitoring des Logs
Monitoring des LogsMonitoring des Logs
Monitoring des LogsSooyoos
 
Présentation de projet de fin d’étude diplôme d'ingénieur informatique esprit
Présentation de projet de fin d’étude diplôme d'ingénieur informatique esprit Présentation de projet de fin d’étude diplôme d'ingénieur informatique esprit
Présentation de projet de fin d’étude diplôme d'ingénieur informatique esprit Houssem Eddine Yahyaoui
 
Rapport stage
Rapport stageRapport stage
Rapport stageabir hadjkacem
 
ForwardJS 2017 - Fullstack end-to-end Test Automation with node.js
ForwardJS 2017 - Fullstack end-to-end Test Automation with node.jsForwardJS 2017 - Fullstack end-to-end Test Automation with node.js
ForwardJS 2017 - Fullstack end-to-end Test Automation with node.jsMek Srunyu Stittri
 
Node.js and Selenium Webdriver, a journey from the Java side
Node.js and Selenium Webdriver, a journey from the Java sideNode.js and Selenium Webdriver, a journey from the Java side
Node.js and Selenium Webdriver, a journey from the Java sideMek Srunyu Stittri
 
Web Test Automation with Selenium
Web Test Automation with SeleniumWeb Test Automation with Selenium
Web Test Automation with Seleniumvivek_prahlad
 
Selenium ppt
Selenium pptSelenium ppt
Selenium pptPavan Kumar
 
Test Automation Framework Designs
Test Automation Framework DesignsTest Automation Framework Designs
Test Automation Framework DesignsSauce Labs
 
Meetup Rennes Monitoring - REX Graylog UR1
Meetup Rennes Monitoring - REX Graylog UR1Meetup Rennes Monitoring - REX Graylog UR1
Meetup Rennes Monitoring - REX Graylog UR1Johan THOMAS
 
Retour d'expérience sur Pentaho Data Integration - ce que PDI nous a apporté
Retour d'expérience sur Pentaho Data Integration - ce que PDI nous a apportéRetour d'expérience sur Pentaho Data Integration - ce que PDI nous a apporté
Retour d'expérience sur Pentaho Data Integration - ce que PDI nous a apportéAdrien Futschik
 
Techniques d’accélération des pages Web
Techniques d’accélération des pages WebTechniques d’accélération des pages Web
Techniques d’accélération des pages WebMicrosoft
 
Apache solr andré bois-crettez 08
Apache solr andré bois-crettez 08Apache solr andré bois-crettez 08
Apache solr andré bois-crettez 08Loïc Descotte
 
Geneve Monitoring Graylog
Geneve Monitoring GraylogGeneve Monitoring Graylog
Geneve Monitoring GraylogOPEN-IT SERVICES
 
170119 Webinar Policy & Record Management
170119 Webinar Policy & Record Management170119 Webinar Policy & Record Management
170119 Webinar Policy & Record ManagementEverteam
 
La gestion des archives avec Alfresco
La gestion des archives avec AlfrescoLa gestion des archives avec Alfresco
La gestion des archives avec AlfrescoSavoir-faire Linux
 
Workflow Ortolang
Workflow OrtolangWorkflow Ortolang
Workflow OrtolangJérôme Blanchard
 
Présentation/Atelier oxya
Présentation/Atelier oxyaPrésentation/Atelier oxya
Présentation/Atelier oxyaFujitsu France
 
Game of upgrades to liferay dxp - ep1: Migration de données
Game of upgrades to liferay dxp - ep1: Migration de donnéesGame of upgrades to liferay dxp - ep1: Migration de données
Game of upgrades to liferay dxp - ep1: Migration de donnéesQuang Tu LE
 
Démonstration : Comment la plateforme Denodo permet d'accélérer l'analyse de ...
Démonstration : Comment la plateforme Denodo permet d'accélérer l'analyse de ...Démonstration : Comment la plateforme Denodo permet d'accélérer l'analyse de ...
Démonstration : Comment la plateforme Denodo permet d'accélérer l'analyse de ...Denodo
 
Sauvegardes En Environnement Mutualisé
Sauvegardes En Environnement MutualiséSauvegardes En Environnement Mutualisé
Sauvegardes En Environnement MutualiséNicolas Georgeault
 
IBM FlashSystem : Les bonnes raisons de passer au Flash
IBM FlashSystem : Les bonnes raisons de passer au Flash IBM FlashSystem : Les bonnes raisons de passer au Flash
IBM FlashSystem : Les bonnes raisons de passer au Flash Solutions IT et Business
 
JSS2013 : Hekaton
JSS2013 : HekatonJSS2013 : Hekaton
JSS2013 : HekatonChristophe Laporte
 
Meetup Devops Geneve 06/17- EBU Feedbacks
Meetup Devops Geneve 06/17- EBU Feedbacks Meetup Devops Geneve 06/17- EBU Feedbacks
Meetup Devops Geneve 06/17- EBU Feedbacks Hidora
 
Déploiement d'une solution de GED (Gestion Electronique de Documents) et cond...
Déploiement d'une solution de GED (Gestion Electronique de Documents) et cond...Déploiement d'une solution de GED (Gestion Electronique de Documents) et cond...
Déploiement d'une solution de GED (Gestion Electronique de Documents) et cond...Sollan France
 
Diapositive du système d'exploitation-2-1.pdf
Diapositive du système d'exploitation-2-1.pdfDiapositive du système d'exploitation-2-1.pdf
Diapositive du système d'exploitation-2-1.pdfDannyMukoka
 
Openerp
OpenerpOpenerp
OpenerpPrénom Nom de famille
 
Déploiement ELK en conditions réelles
Déploiement ELK en conditions réellesDéploiement ELK en conditions réelles
Déploiement ELK en conditions réellesGeoffroy Arnoud
 
PriceMinister et IBM FlashSystem
PriceMinister et IBM FlashSystemPriceMinister et IBM FlashSystem
PriceMinister et IBM FlashSystemStephaneBenatar
 

Mais conteúdo relacionado

Semelhante a Graylog: Parc info: OK! Datacenter: OK!

Meetup Rennes Monitoring - REX Graylog UR1
Meetup Rennes Monitoring - REX Graylog UR1Meetup Rennes Monitoring - REX Graylog UR1
Meetup Rennes Monitoring - REX Graylog UR1Johan THOMAS
 
Retour d'expérience sur Pentaho Data Integration - ce que PDI nous a apporté
Retour d'expérience sur Pentaho Data Integration - ce que PDI nous a apportéRetour d'expérience sur Pentaho Data Integration - ce que PDI nous a apporté
Retour d'expérience sur Pentaho Data Integration - ce que PDI nous a apportéAdrien Futschik
 
Techniques d’accélération des pages Web
Techniques d’accélération des pages WebTechniques d’accélération des pages Web
Techniques d’accélération des pages WebMicrosoft
 
Apache solr andré bois-crettez 08
Apache solr andré bois-crettez 08Apache solr andré bois-crettez 08
Apache solr andré bois-crettez 08Loïc Descotte
 
170119 Webinar Policy & Record Management
170119 Webinar Policy & Record Management170119 Webinar Policy & Record Management
170119 Webinar Policy & Record ManagementEverteam
 
La gestion des archives avec Alfresco
La gestion des archives avec AlfrescoLa gestion des archives avec Alfresco
La gestion des archives avec AlfrescoSavoir-faire Linux
 
Présentation/Atelier oxya
Présentation/Atelier oxyaPrésentation/Atelier oxya
Présentation/Atelier oxyaFujitsu France
 
Game of upgrades to liferay dxp - ep1: Migration de données
Game of upgrades to liferay dxp - ep1: Migration de donnéesGame of upgrades to liferay dxp - ep1: Migration de données
Game of upgrades to liferay dxp - ep1: Migration de donnéesQuang Tu LE
 
Démonstration : Comment la plateforme Denodo permet d'accélérer l'analyse de ...
Démonstration : Comment la plateforme Denodo permet d'accélérer l'analyse de ...Démonstration : Comment la plateforme Denodo permet d'accélérer l'analyse de ...
Démonstration : Comment la plateforme Denodo permet d'accélérer l'analyse de ...Denodo
 
Sauvegardes En Environnement Mutualisé
Sauvegardes En Environnement MutualiséSauvegardes En Environnement Mutualisé
Sauvegardes En Environnement MutualiséNicolas Georgeault
 
IBM FlashSystem : Les bonnes raisons de passer au Flash
IBM FlashSystem : Les bonnes raisons de passer au Flash IBM FlashSystem : Les bonnes raisons de passer au Flash
IBM FlashSystem : Les bonnes raisons de passer au Flash Solutions IT et Business
 
Meetup Devops Geneve 06/17- EBU Feedbacks
Meetup Devops Geneve 06/17- EBU Feedbacks Meetup Devops Geneve 06/17- EBU Feedbacks
Meetup Devops Geneve 06/17- EBU Feedbacks Hidora
 
Déploiement d'une solution de GED (Gestion Electronique de Documents) et cond...
Déploiement d'une solution de GED (Gestion Electronique de Documents) et cond...Déploiement d'une solution de GED (Gestion Electronique de Documents) et cond...
Déploiement d'une solution de GED (Gestion Electronique de Documents) et cond...Sollan France
 
Diapositive du système d'exploitation-2-1.pdf
Diapositive du système d'exploitation-2-1.pdfDiapositive du système d'exploitation-2-1.pdf
Diapositive du système d'exploitation-2-1.pdfDannyMukoka
 
Déploiement ELK en conditions réelles
Déploiement ELK en conditions réellesDéploiement ELK en conditions réelles
Déploiement ELK en conditions réellesGeoffroy Arnoud
 
PriceMinister et IBM FlashSystem
PriceMinister et IBM FlashSystemPriceMinister et IBM FlashSystem
PriceMinister et IBM FlashSystemStephaneBenatar
 

Semelhante a Graylog: Parc info: OK! Datacenter: OK! (20)

Meetup Rennes Monitoring - REX Graylog UR1
Meetup Rennes Monitoring - REX Graylog UR1Meetup Rennes Monitoring - REX Graylog UR1
Meetup Rennes Monitoring - REX Graylog UR1
 
Retour d'expérience sur Pentaho Data Integration - ce que PDI nous a apporté
Retour d'expérience sur Pentaho Data Integration - ce que PDI nous a apportéRetour d'expérience sur Pentaho Data Integration - ce que PDI nous a apporté
Retour d'expérience sur Pentaho Data Integration - ce que PDI nous a apporté
 
Techniques d’accélération des pages Web
Techniques d’accélération des pages WebTechniques d’accélération des pages Web
Techniques d’accélération des pages Web
 
Apache solr andré bois-crettez 08
Apache solr andré bois-crettez 08Apache solr andré bois-crettez 08
Apache solr andré bois-crettez 08
 
Geneve Monitoring Graylog
Geneve Monitoring GraylogGeneve Monitoring Graylog
Geneve Monitoring Graylog
 
170119 Webinar Policy & Record Management
170119 Webinar Policy & Record Management170119 Webinar Policy & Record Management
170119 Webinar Policy & Record Management
 
La gestion des archives avec Alfresco
La gestion des archives avec AlfrescoLa gestion des archives avec Alfresco
La gestion des archives avec Alfresco
 
Workflow Ortolang
Workflow OrtolangWorkflow Ortolang
Workflow Ortolang
 
Présentation/Atelier oxya
Présentation/Atelier oxyaPrésentation/Atelier oxya
Présentation/Atelier oxya
 
Game of upgrades to liferay dxp - ep1: Migration de données
Game of upgrades to liferay dxp - ep1: Migration de donnéesGame of upgrades to liferay dxp - ep1: Migration de données
Game of upgrades to liferay dxp - ep1: Migration de données
 
Démonstration : Comment la plateforme Denodo permet d'accélérer l'analyse de ...
Démonstration : Comment la plateforme Denodo permet d'accélérer l'analyse de ...Démonstration : Comment la plateforme Denodo permet d'accélérer l'analyse de ...
Démonstration : Comment la plateforme Denodo permet d'accélérer l'analyse de ...
 
Sauvegardes En Environnement Mutualisé
Sauvegardes En Environnement MutualiséSauvegardes En Environnement Mutualisé
Sauvegardes En Environnement Mutualisé
 
IBM FlashSystem : Les bonnes raisons de passer au Flash
IBM FlashSystem : Les bonnes raisons de passer au Flash IBM FlashSystem : Les bonnes raisons de passer au Flash
IBM FlashSystem : Les bonnes raisons de passer au Flash
 
JSS2013 : Hekaton
JSS2013 : HekatonJSS2013 : Hekaton
JSS2013 : Hekaton
 
Meetup Devops Geneve 06/17- EBU Feedbacks
Meetup Devops Geneve 06/17- EBU Feedbacks Meetup Devops Geneve 06/17- EBU Feedbacks
Meetup Devops Geneve 06/17- EBU Feedbacks
 
Déploiement d'une solution de GED (Gestion Electronique de Documents) et cond...
Déploiement d'une solution de GED (Gestion Electronique de Documents) et cond...Déploiement d'une solution de GED (Gestion Electronique de Documents) et cond...
Déploiement d'une solution de GED (Gestion Electronique de Documents) et cond...
 
Diapositive du système d'exploitation-2-1.pdf
Diapositive du système d'exploitation-2-1.pdfDiapositive du système d'exploitation-2-1.pdf
Diapositive du système d'exploitation-2-1.pdf
 
Openerp
OpenerpOpenerp
Openerp
 
Déploiement ELK en conditions réelles
Déploiement ELK en conditions réellesDéploiement ELK en conditions réelles
Déploiement ELK en conditions réelles
 
PriceMinister et IBM FlashSystem
PriceMinister et IBM FlashSystemPriceMinister et IBM FlashSystem
PriceMinister et IBM FlashSystem
 

Graylog: Parc info: OK! Datacenter: OK!

  • 1. Centralisation de logs: Parc info & Data Center Retours d’expérience Johan THOMAS - johan.thomas@univ-rennes1.fr - @jothoma1 - Journée sécurité @Min2rien 08/11/2016 Lille
  • 2. Sommaire 2 retours d’expérience de centralisation des logs 1 outil commun : Graylog • Parc informatique • Data Center universitaire -> Contexte -> Objectifs -> Réalisation -> Et la suite ??? Johan THOMAS - @jothoma1 2
  • 3. La centralisation des logs Johan THOMAS - @jothoma1 3 ELK, Splunk, Graylog, etc Formats : GELF, JSON, etc Syslog-NG, PHP, mySQL, développement locaux, pas scalable, … Format : syslog
  • 4. • SSI : législation, -> vrai politique de logs (durée d’exploitation, archivage), corrélation, contrôle d’accès aux logs, … • Reporting : Dashboards, amélioration continue, anticipation, réactivité, gestion de problèmes, alerting, … Permettre aux utilisateurs d’utiliser leurs données ! Les enjeux actuels de la centralisation des logs Johan THOMAS - @jothoma1 4
  • 5. Retour n°1: Académie de Rennes Johan THOMAS - @jothoma1 5
  • 6. Contexte: Rectorat d’académie de Rennes 2013… Migration vers Win 7 / Active Directory Sauvegarde des données, refonte des espaces Pas de gestion centralisée du poste Johan THOMAS - @jothoma1 6 Des changements importants : - dans l’organisation - dans l’expérience utilisateur
  • 7. Les besoins • Du suivi ! (utilisation, déploiements) • Meilleure prise en compte des demandes • Réactivité dans l’assistance • Visibilité • Suivi • Tableaux de bord Johan THOMAS - @jothoma1 7 -> Centralisons les logs des postes de travail !
  • 8. Comment ? Sur les postes ? Johan THOMAS - @jothoma1 8 • Besoin d’une interface sur le poste http://www.nxlog.org • Open Source • Branchement sur observateur événements • Packagé • Maintenance très simple • Modulaire • Multiplateformes
  • 9. Comment ? Centralisation Johan THOMAS - @jothoma1 9 • Des milliers de postes • Des milliards de lignes d’informations • Des fonctionnalités (moteur de recherche, …) ELK ?? Splunk ?? Graylog ?? GELF | Graylog Extended Log Format
  • 10. Pourquoi Graylog?? -> Fonctionnalités • A l’origine du format GELF • Gère complètement elasticsearch • Politique de rotation • Moteur de recherche • Alerte • Authentification / Rôles • Reporting (dashboards, facile d’accès) • Extrêmement performant • Extensible • Mature • INPUTs & OUTPUTs • Extracteurs Johan THOMAS - @jothoma1 10 • Archivage • Gestion des loggers • Marketplace (forte communauté) • API • Scalable • Simple à prendre en main • Etc.
  • 11. Usage Rectorat d’Académie de Rennes • Migration Seven & Gestion AD • Suivi des erreurs login / mot de passe • Stockage : erreurs caractère spécial, nom de fichier trop long • Infection Virus • Déploiement applis et erreurs applicatives • Détection des erreurs disques • Assistance proactive Johan THOMAS - @jothoma1 11
  • 12. Usage Rectorat d’Académie de Rennes • Moteur de recherche Johan THOMAS - @jothoma1 12
  • 13. Usage Rectorat d’Académie de Rennes Johan THOMAS - @jothoma1 13 • Tableaux de bord
  • 14. Usage Rectorat d’Académie de Rennes • Alertes Johan THOMAS - @jothoma1 14
  • 15. Retour n°2: Université de Rennes 1 Johan THOMAS - @jothoma1 15
  • 16. Contexte: DSI Université de Rennes 1 2016… • Solution centralisation vieillissante • Pas systématique • Politique de rétention ? • Pas d’exploitation des données • Utilisation complexe… Johan THOMAS - @jothoma1 16
  • 17. Les objectifs 2016… • Refonte solution centralisation • Politique de rétention • Sécurité • Extension du périmètre • Les enjeux: • Sécurité • Conservation • Analyse & Reporting (indicateurs, dashboards) Johan THOMAS - @jothoma1 17
  • 18. Pourquoi Graylog?? -> Fonctionnalités • A l’origine du format GELF • Gère complètement elasticsearch • Politique de rotation • Moteur de recherche • Alerte • Authentification / Rôles • Reporting (dashboards, facile d’accès) • Extrêmement performant • Extensible • Mature • INPUTs & OUTPUTs • Extracteurs Johan THOMAS - @jothoma1 18 • Archivage • Gestion des loggers • Marketplace (forte communauté) • API • Scalable • Simple à prendre en main • Etc.
  • 19. Comment • UDP : Equipements réseaux • TCP : tout ce qui le supporte • Shippers : Rsyslog / Nxlog / Log4j / etc • Format Syslog lorsqu’on ne peut pas faire autrement • Formats JSON / GELF partout ailleurs • Formation / accompagnement des équipes Johan THOMAS - @jothoma1 19
  • 20. Organisation • Briques techniques : • Outillage de gestion de conf (Puppet) -> serveurs / applications • Politique de rétention (elasticsearch) • Entièrement gérée dans Graylog. • 1 indice par jour / Max 105 (3 mois d’exploitation des logs) • Archivage pendant 1 an (soulagement cluster elasticsearch & coût de stockage) Graylog enterprise • Automatique ! • Branchement Référentiel d’identités Johan THOMAS - @jothoma1 20
  • 21. Organisation Johan THOMAS - @jothoma1 21 Load Balancer Graylog Stratégie de rotation: 1 indice / jour Stratégie de rétention: Max: 105 indices Archivage externe puis suppression des indices dans Elasticsearch LOGS Elasticsearch Archivage Stockage SAN : disques rapides & coûteux 3 mois d’exploitation Disques lents & peu coûteux 9 mois de conservation (requête judiciaire) Reception / Cache Catégorisation Traitement INPUTS / OUTPUTS Alerting ACL UI API
  • 22. Cas d’usages Johan THOMAS - @jothoma1 22
  • 23. Cas d’usages Johan THOMAS - @jothoma1 23 Services « techniques » (httpd, mysql, radius, réseau, …) SSI Services fonctionnels
  • 24. What’s Next ?? • Continuer l’extension de périmètre • Corrélation logs • Graph DB (neo4j) Johan THOMAS - @jothoma1 24
  • 25. Conclusion • Adhésion des utilisateurs : création de valeur ajoutée avec leurs logs… • Graylog indispensable dans notre « outillage » • Visibilité à tous les niveaux • Une vrai conformité dans la politique de logs • Assistance proactive / réactivité accrue • Corrélation de logs • Nouveaux usages Johan THOMAS - @jothoma1 25
  • 26. Merci ! johan.thomas@univ-rennes1.fr @jothoma1 Plus d’info : https://www.graylog.org Johan THOMAS - @jothoma1 26

Notas do Editor

  1. Usage classique dans le monde systèmes / réseaux (centralisation syslog) Supervision des logs en forte évolution (technologies du Big Data, elasticsearch, mongodb) A prendre en compte : Le client / le format / le transport / l’outil de centralisation
  2. Focus Big DATA Maintenant qu’on a gagné en efficacité avec les outils, quels sont les enjeux véritables
  3. Cas d’usages. nom de fichier trop long/ caracteres speciaux -> on evite la perte de données, on détecte les problèmes avant que l’utilisateur ne les signale Erreurs disques Erreurs impression Syncho identité dans l’AD par rapport aux referentiel identité academique Schannel : http://support.microsoft.com/fr-fr/kb/3000483
  4. DAIP Services 9 sites distants 1200 postes Majorité Microsoft 4 personnes en charge de l’assistance de niveau 2 et de l’infrastructure postes de travail. Sites répartis, CIO d’Ille et Vilaine Quelques postes linux Nouveaux usages, nouveaux outils, nouvelle infra
  5. Tableaux de bord: détailler, usage concret, actuellement utilisé par assistance de niveau 2 Originalité de la présentation! Aller chercher les infos sur le poste Enormément de donnée à exploiter, Illustrer : Pb de disques, Pb de lenteurs, Pb applicatifs
  6. WinlogBeat ->pas packagé…
  7. Ne pas détailler tout; expliquer ce qui est en gras et qui contrairement aux solutions concurrentes est géré nativement
  8. Cas d’usages. nom de fichier trop long/ caracteres speciaux -> on evite la perte de données, on détecte les problèmes avant que l’utilisateur ne les signale Erreurs disques Erreurs impression Syncho identité dans l’AD par rapport aux referentiel identité academique Schannel : http://support.microsoft.com/fr-fr/kb/3000483
  9. Cas d’usages. nom de fichier trop long/ caracteres speciaux -> on evite la perte de données, on détecte les problèmes avant que l’utilisateur ne les signale Erreurs disques Erreurs impression Syncho identité dans l’AD par rapport aux referentiel identité academique Schannel : http://support.microsoft.com/fr-fr/kb/3000483
  10. Cas d’usages. nom de fichier trop long/ caracteres speciaux -> on evite la perte de données, on détecte les problèmes avant que l’utilisateur ne les signale Erreurs disques Erreurs impression Syncho identité dans l’AD par rapport aux referentiel identité academique Schannel : http://support.microsoft.com/fr-fr/kb/3000483
  11. Cas d’usages. nom de fichier trop long/ caracteres speciaux -> on evite la perte de données, on détecte les problèmes avant que l’utilisateur ne les signale Erreurs disques Erreurs impression Syncho identité dans l’AD par rapport aux referentiel identité academique Schannel : http://support.microsoft.com/fr-fr/kb/3000483
  12. Cas d’usages. nom de fichier trop long/ caracteres speciaux -> on evite la perte de données, on détecte les problèmes avant que l’utilisateur ne les signale Erreurs disques Erreurs impression Syncho identité dans l’AD par rapport aux referentiel identité academique Schannel : http://support.microsoft.com/fr-fr/kb/3000483
  13. Serveurs : 500 + Equipements réseaux : 550 Postes de travail : 6000 SAN Partenaires