Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 30/11/2017, à 14:43

Byggvir

Comment configurer un input de Graylog2 avec syslog en TLS

Bonjour,

J'ai deux serveurs, un serveur de production et un serveur de monitoring. Sur le serveur de monitoring, j'ai installé Graylog2 (version 2.3.2). Avant je passais les logs entre les deux serveurs en UDP. Avec cette configuration:

Côté serveur de production

/etc/rsyslog.d/60-graylog.conf:
*.* @monitoring.logMonitoringdomainName:514;RSYSLOG_SyslogProtocol23Format

Côté serveur de monitoring

ufw allow 514/udp

systemctl restart rsyslog

Et Graylog fonctionnait bien. Mais maintenant je voudrais passer les logs entre les deux serveurs en utilisant TLS. Mes certificats sont générés avec letsencrypt. Avec cette configuration:

Côté serveur de production

apt-get -y install rsyslog-gnutls
/etc/rsyslog.d/60-graylog.conf:
$ModLoad imuxsock # local messages
$ModLoad imtcp # TCP listener

# make gtls driver the default
$DefaultNetstreamDriver gtls

# certificate files
$DefaultNetstreamDriverCAFile /etc/letsencrypt/live/domainName/fullchain.pem
$DefaultNetstreamDriverCertFile /etc/letsencrypt/live/domainName/cert.pem
$DefaultNetstreamDriverKeyFile /etc/letsencrypt/live/domainName/privkey.pem

$InputTCPServerStreamDriverAuthMode x509/name
$InputTCPServerStreamDriverPermittedPeer *.$logMonitoring
$InputTCPServerStreamDriverMode 1 # run driver in TLS-only mode
$InputTCPServerRun 10514 # start up listener at port 10514

*.* @@monitoring.logMonitoringdomainName:514;RSYSLOG_SyslogProtocol23Format

ufw allow 514/tcp
systemctl restart rsyslog

Côté serveur de monitoring

ufw allow 514/tcp

systemctl restart rsyslog

Graylog TCP input :

allow_override_date:
 true
bind_address:
 0.0.0.0
expand_structured_data:
 false
force_rdns:
 false
max_message_size:
 2097152
override_source:
 <empty>
port:
 514
recv_buffer_size:
 1048576
store_full_message:
 false
tcp_keepalive:
 false
tls_cert_file:
 /home/byggvir/TLS_LOG/cert.pem
tls_client_auth:
 disabled
tls_client_auth_cert_file:
 <empty>
tls_enable:
 true
tls_key_file:
 /home/byggvir/TLS_LOG/privkey.pem
tls_key_password:
 ********
use_null_delimiter:
 false

Mais je ne comprends pas comment régler l'entrée Graylog, Graylog ne peut pas lire les logs, en plus je ne suis pas sûr de ma configuration TLS. Pourriez-vous me guider dans la configuration ?

Merci de prendre le temps de me lire,

Hors ligne

Pages : 1