Voici une petite liste des solutions existantes pour l’installation d’un serveur d’analyse de log

  • Source : https://blog.syloe.com/traitement-des-logs-graylog-elk-open-source/

Présentation

Un serveur de log est un fichier journal (ou plusieurs fichiers) créé et tenu à jour automatiquement par un serveur et constitué d’une liste d’activités qu’il a effectuées.

Il permette de

  • retracer les actions et la vie d’un utilisateur,
  • identifier et de résoudre des problèmes de sécurité,
  • contribuer à l’amélioration des diagnostics des pannes et des erreurs,
  • d’analyser et de comprendre le fonctionnement d’une application ou d’un service,
  • d’expliquer les erreurs d’un sytème, d’un service ou d’une application métiers,
  • d’être prévenus en cas de dysfonctionnement.

Les solutions

LOKI

https://linuxfr.org/news/loki-centralisation-de-logs-a-la-sauce-prometheus

  • Elastic Stack (anciennement ELK): Elasticsearch, Logstach, Kibana
    • Avantages : simple d’utilisation et très intuitif
    • Désavantages : Configuration complexe, Pas de système d’alerte

ELK est un outil permettant de centraliser les logs. C’est une suite logicielle qui regroupe ElasticSearch, Logstash et Kibana. Elle contient un moteur de recherche et d’indexation, un outil de pipeline pour recevoir les données, un outil graphique de visualisation et de présentation des données.

Tutoriel : https://maximepiazzola.wordpress.com/2018/01/24/installation-et-configuration-de-elk/

Autre info : Avant ont utilisé rsyslog ou syslog-ng pour envoyer les logs maintenant on utilise des Beats. Changement de nom de ELK a Elastic stack depuis implémentation de beats

Plus d’information ici :

  • Graylog: Elasticsearch, MongoDB
    • Avantages : Log and event, analysis server, simple d’utilisation et configuration, Gestion des alertes
    • Désavantages : Moins complet en termes de graphiques
    • Url : https://www.graylog.org/

Les autres

  • Rsyslog : s’occupe de gérer les log
  • Splunk : Payant
  • Fluentd : Collecteur de log et shipper – ça m’a l’air ancien, plus de tuto récent sur le net
  • Echofish : Léger (PHP/Mysql) mais plus a jour : Log aggregation , analysis, monitoring
  • Flume : PAs d’interface m’a l’air un peu mort
  • Heka : Comme logstach mais la société de Heka est plus faible
  • Octopussy : Plsu a jour depuis 2017 mais léger

J’ai choisi Graylog dans ce site pour sa simplicité de mise en place

Tutoriel Graylog