Graylog: Envoyer des logs rsyslog vers Graylog avec chiffrement TLS

Cette documentation fait partie du guide Premiers pas. Consultez le guide complet ici : Comment débuter avec Graylog.

👋 Bienvenue sur la documentation de Stackhero !

Stackhero propose une solution Graylog cloud prête à l'emploi qui offre de nombreux avantages, notamment :

  • Serveur SMTP d'e-mail dédié et illimité inclus.
  • Mises à jour simplifiées en un clic.
  • Nom de domaine personnalisable sécurisé par HTTPS (par exemple, https://logs.votre-entreprise.com).
  • Performance optimale et sécurité renforcée grâce à une VM privée et dédiée.

Gagnez du temps et simplifiez-vous la vie : il suffit de 5 minutes pour essayer la solution Graylog cloud hosting de Stackhero !

Si vous disposez d'un client rsyslog et souhaitez envoyer vos logs de manière sécurisée vers Graylog, suivez ces étapes :

N'activez aucune option TLS sur l'input de Graylog. Le TLS sera géré directement par un reverse proxy sur votre instance, ainsi Graylog ne s'en occupera pas.

  1. Rendez-vous dans la configuration de votre service Graylog sur le tableau de bord Stackhero et activez le "chiffrement TLS" pour le port Syslog TCP 514.

  2. Mettez à jour la configuration de votre rsyslog comme indiqué ci-dessous. Remplacez <XXXXXX>.stackhero-network.com par le nom d'hôte de votre instance :

    # Définir le certificat CA TLS
    global(
      DefaultNetstreamDriver="gtls"
      DefaultNetstreamDriverCAFile="/etc/ssl/certs/ca-certificates.crt"
    )
    
    # Envoyer tous les logs vers un serveur distant
    # Une file d'attente sur disque est créée pour cette action. Si l'hôte distant
    # est indisponible, les messages sont stockés sur disque et envoyés dès qu'il redevient accessible
    # Voir https://www.rsyslog.com/doc/v8-stable/configuration/actions.html
    # et https://www.rsyslog.com/doc/v8-stable/configuration/modules/omfwd.html
    *.* action(
      type="omfwd"
      target="<XXXXXX>.stackhero-network.com"
      port="514"
      protocol="tcp"
      KeepAlive="on"
      KeepAlive.Interval="30"
      StreamDriver="gtls"
      StreamDriverMode="1"
      StreamDriverAuthMode="x509/name"
      ResendLastMSGOnReconnect="on"
      queue.filename="fwdRule1"  # préfixe unique pour les fichiers de spool
      queue.type="LinkedList"
      queue.maxDiskSpace="256m"
      queue.saveOnShutdown="on"
      action.resumeRetryCount="-1"
      action.resumeInterval="30"
    )
    
  3. Redémarrez votre service rsyslog et vérifiez la configuration en envoyant un log avec la commande :

    logger This is a test
    

La configuration est terminée. Vous envoyez désormais vos logs de façon sécurisée à Graylog via TLS !