`

TELECOMMUNICATIONS Présenté
ADMINISTRATION &ET
SECURITE et soutenu
INFORMATIQUEDES par
RESEAUX

Sous la direction de

Promotion 2019 - 2022

Août 2022
PLAN :
Introduction
Chapitre 1 : Concepts fondamentaux sur la gestion des logs
1. Définition des logs
2. Rôles et importance des logs
3. Historique
4. Fonctionnement
5. Avantages
6. Inconvénients
7. Limites
Chapitre 2 : Étude comparative des outils de gestion de logs
1. Critères de comparaison
2. Analyse comparative
3. Synthèse de la comparaison
Chapitre 3 : Mise en œuvre des outils de gestion
1. Mise en œuvre de Wazuh
o Installation et configuration de Wazuh.
2. Mise en œuvre de Fluentd
o Installation et configuration de Fluentd.
3. Mise en œuvre de Graylog
o Installation et configuration de Graylog.
4. Tests des différents outils
1. Wazuh
2. Fluentd
3. Graylog
Conclusion
Références bibliographiques
Annexes
Introduction
La gestion des logs est devenue un enjeu central pour la surveillance et la sécurité des
systèmes informatiques. Les logs, qui sont des enregistrements d'événements générés par les
systèmes, les applications ou les réseaux, permettent de retracer les activités et de détecter
les anomalies ou les incidents de sécurité. Dans ce cadre, il est essentiel d'implémenter des
outils efficaces pour la collecte, l'analyse et la gestion de ces logs. Ce projet s’inscrit dans
cette logique et vise à étudier trois outils spécifiques de gestion de logs : Wazuh, Fluentd et
Graylog.
Le travail que nous présentons se structure autour de trois axes principaux. Dans un
premier temps, nous aborderons les concepts fondamentaux de la gestion des logs, en
commençant par la définition des logs, leurs rôles, ainsi que les avantages et inconvénients
de leur utilisation. Ensuite, une étude comparative des différents outils de gestion des logs
sera menée à travers des critères spécifiques, afin de comprendre leurs particularités.
Enfin, la mise en œuvre des outils sélectionnés sera présentée avec une attention particulière
aux processus d'installation, de configuration et aux tests réalisés pour évaluer leur
efficacité.
Plan :
 Chapitre 1 : Concepts fondamentaux sur la gestion des logs
 Chapitre 2 : Étude comparative des outils de gestion de logs
 Chapitre 3 : Mise en œuvre des outils de gestion (Wazuh, Fluentd, Graylog)

II
Chapitre 1 : Concepts fondamentaux sur la gestion des logs
1. Définition du Log :
Les logs sont des enregistrements produits automatiquement par les systèmes informatiques
(serveurs, applications, équipements réseau) documentant leurs activités (tentatives de connexion,
accès aux fichiers, erreurs, etc.).
 Wazuh collecte et analyse les logs pour détecter des anomalies et menaces dans les
systèmes surveillés.
 Fluentd centralise et structure les logs provenant de différentes sources, facilitant leur
envoi vers diverses destinations.
 Graylog centralise et visualise les logs générés par les systèmes, facilitant leur analyse et
surveillance.
2. Rôles et Importance des Logs :
 Détection des intrusions : Identifier des comportements inhabituels ou malveillants.
 Audit de conformité : Prouver la conformité avec des réglementations (PCI-DSS,
GDPR, etc.).
 Dépannage : Identifier et résoudre les problèmes techniques.
 Analyse post-incident : Fournir une traçabilité détaillée après une cyberattaque ou une
panne.
3. Historique des Outils :
 Wazuh : Dérivé du projet OSSEC créé en 2004, utilisé pour la détection d’intrusions.
Wazuh a étendu les fonctionnalités de sécurité avec des capacités de gestion des logs,
surveillance en temps réel, et gestion des vulnérabilités.
 Fluentd : Lancé en 2011 par Treasure Data pour répondre aux besoins de gestion des logs
dans les systèmes distribués modernes. Il a été intégré à la Cloud Native Computing
Foundation (CNCF) en 2016 et est largement utilisé dans les infrastructures cloud natives
comme Kubernetes.
 Graylog : Créé en 2013 par Lukas Gentele et Jan Van den Eynde, Graylog a connu une
croissance rapide grâce à sa capacité à centraliser les logs et offrir des outils d'analyse
puissants. En 2016, Graylog Inc. a été formée, et une version entreprise a été lancée avec
des fonctionnalités avancées de sécurité et de gestion des utilisateurs.

III
4. Fonctionnement
Wazuh
Wazuh adopte une architecture distribuée composée de trois composants principaux :
 Agent : Installé sur les machines clientes, il collecte les logs, surveille l'intégrité des
fichiers, détecte les vulnérabilités et envoie les données au serveur.
 Serveur : Reçoit les logs des agents, les analyse pour détecter des menaces et applique
des règles de sécurité.
 Elastic Stack : Utilise Elasticsearch pour stocker les logs et Kibana pour leur
visualisation, assurant ainsi une gestion centralisée et une recherche rapide.
Le processus se déroule comme suit :
1. Les agents collectent les événements et les envoient au serveur.
2. Le serveur analyse les événements à l'aide de règles de corrélation prédéfinies.
3. Les alertes générées sont stockées dans Elasticsearch et visualisées via Kibana.
Fluentd
Fluentd fonctionne avec une architecture modulaire basée sur des plugins, structurée autour de
trois phases :
1. Collecte : Les logs sont récupérés depuis diverses sources (fichiers logs, services web,
bases de données, etc.) à l'aide de plugins d'entrée (input plugins).
2. Transformation : Les logs sont ensuite transformés, formatés, filtrés ou enrichis via des
plugins de filtre (filter plugins).
3. Acheminement : Les logs transformés sont envoyés vers des destinations spécifiques
(output plugins) telles que des bases de données ou des systèmes de stockage.
Graylog
Graylog adopte une architecture distribuée et flexible pour la gestion des logs, incluant les
composants suivants :
 Graylog Server : C'est l'application Java qui gère la réception, le traitement et l'analyse
des logs. Il peut être exécuté sur plusieurs serveurs.
 MongoDB : Stocke les métadonnées, les configurations et les informations sur les
utilisateurs.
 Elasticsearch : Moteur de recherche qui stocke les logs collectés et permet des recherches
rapides.
Le processus de traitement de Graylog se déroule en plusieurs étapes :

IV
 1. Collecte des logs : Via des "inputs" (Syslog, GELF) ou des agents de collecte comme
Filebeat.
2. Traitement des logs : Extraction de champs spécifiques, pipelines de traitement en temps
réel.
3. Stockage et indexation : Elasticsearch indexe les logs pour une recherche rapide.
4. Interface Web : Permet de visualiser les logs, créer des tableaux de bord personnalisés, et
configurer des alertes.
5. Avantages
Wazuh
 Open-source : Gratuit et sans frais de licence.
 Détection en temps réel : Analyse des logs et détection des menaces en temps réel.
 Multiplateforme : Fonctionne sur Linux, Windows, et macOS.
 Gestion des vulnérabilités : Intègre l'analyse des vulnérabilités des systèmes surveillés.
 Conformité : Facilite la conformité aux audits en stockant des logs et générant des
rapports.
 Scalabilité : Capable de surveiller des milliers d'agents.
Fluentd
 Open-source et flexible : Gratuit avec une vaste bibliothèque de plugins.
 Scalabilité : Gère des volumes élevés de logs dans des environnements complexes.
 Simplicité d’intégration : Intégration facile avec Kubernetes, Docker, Elasticsearch, et
AWS.
 Support des logs structurés et non structurés : Capable de normaliser des logs
hétérogènes en JSON.
 Extensibilité : Ajout facile de nouvelles fonctionnalités via des plugins.
Graylog
 Centralisation des logs : Permet de centraliser les logs provenant de plusieurs sources
(serveurs, bases de données, réseaux).
 Recherche rapide : Utilisation d’Elasticsearch pour des recherches efficaces sur de
grandes quantités de logs.
 Interface Web conviviale : Facilité d’utilisation même pour les non-experts, avec des
tableaux de bord personnalisables.

V
  Alertes et notifications : Permet de configurer des alertes et de réagir rapidement aux
incidents critiques.
 Extensibilité et personnalisation : Plugins et intégration avec des outils tiers.
 Gestion des utilisateurs et sécurité : Contrôles d’accès basés sur les rôles et permissions.
6. Inconvénients
Wazuh
 Complexité de configuration : L'intégration avec Elastic Stack peut être difficile, surtout
dans les grandes infrastructures.
 Consommation de ressources : L'analyse en temps réel demande beaucoup de CPU et de
mémoire.
 Courbe d’apprentissage : Une formation est nécessaire pour bien maîtriser Wazuh et
Elastic Stack.
Fluentd
 Performance dans les grands environnements : Nécessite parfois des ajustements dans
des environnements à haute charge.
 Complexité de configuration : Peut devenir complexe dans les systèmes distribués avec
plusieurs sources de logs.
 Consommation de ressources : Peut consommer beaucoup de CPU et de mémoire en
traitant des volumes importants de données.
Graylog
 Complexité de configuration : L'installation et la configuration peuvent être complexes,
nécessitant une connaissance de MongoDB et Elasticsearch.
 Dépendance à l’infrastructure : Nécessite des composants tiers comme MongoDB et
Elasticsearch.
 Scalabilité : Peut rencontrer des limites en matière de performance si mal dimensionné.
 Utilisation de ressources : Les grandes quantités de données peuvent entraîner des coûts
supplémentaires en matière de matériel et de stockage.
7. Limites
Wazuh
 Dépendance à Elastic Stack : Nécessite la gestion d’Elastic Stack, ce qui peut ajouter de
la complexité.
 Manque d’automatisation avancée : Moins automatisé que certains outils payants.

VI
  Limitation des sources de logs : Peut manquer d'intégrations natives avec certaines
plateformes spécifiques.
Fluentd
 Latence : Peut présenter une latence lorsque des volumes élevés de logs sont traités avec
des transformations complexes.
 Dépendance aux plugins : Les versions de plugins peuvent introduire des bugs ou des
incompatibilités.
 Complexité pour les débutants : Difficulté d’utilisation pour ceux qui sont novices dans
la gestion des logs.
Graylog
 Capacité de stockage : Nécessite une stratégie de gestion des données pour éviter la
suppression des anciens logs.
 Limites de scalabilité : La gestion de grandes quantités de données peut nécessiter une
mise à l'échelle horizontale.
 Dépendance aux composants tiers : Des problèmes avec MongoDB ou Elasticsearch
peuvent affecter Graylog.
 Personnalisation des dashboards : Moins personnalisable que certaines solutions
commerciales.

Chapitre 2 : Étude comparative des outils de gestion de logs

4. Critères de comparaison
Pour comparer les outils de gestion des logs, nous allons nous baser sur les critères
suivants :
 Architecture et fonctionnalités principales : Type d’architecture, modèle de
fonctionnement, fonctionnalités natives.
 Scalabilité et performance : Capacité à gérer un grand nombre de logs et d'agents,
performance lors de la collecte et du traitement.
 Facilité de déploiement et de configuration : Complexité de l’installation,
configuration, et maintenance.
 Visualisation et analyse des logs : Outils de visualisation et d’analyse des logs
disponibles.
 Support et communauté : Disponibilité de documentation, support technique, taille et
activité de la communauté open-source.

VII
 Sécurité et conformité : Capacités en matière de sécurité, détection d'intrusions,
conformité aux réglementations.
 Coût : Comparaison des coûts liés à l'utilisation (licence, support, infrastructure).
 Intégration avec d’autres outils : Capacité à s’intégrer avec d’autres outils ou
plateformes existantes (SIEM, services cloud, etc.).
5. Analyse comparative
Wazuh
 Architecture et fonctionnalités principales :
o Basé sur une architecture client-serveur.
o Collecte et analyse des logs, détection des intrusions (IDS), surveillance de
l’intégrité des fichiers, gestion des vulnérabilités.
o Utilise l’Elastic Stack (Elasticsearch et Kibana) pour la gestion et la visualisation
des logs.
 Scalabilité et performance :
o Bonne scalabilité, capable de gérer des milliers d'agents.
o Peut nécessiter une optimisation pour les grandes infrastructures à cause des
besoins en ressources du stack Elastic.
 Facilité de déploiement et de configuration :
o Installation plus complexe à cause de l'intégration avec Elastic Stack.
o Documentation complète, mais une certaine expertise est nécessaire pour une
configuration optimale.
 Visualisation et analyse des logs :
o Intégration avec Kibana pour une visualisation interactive et des tableaux de bord
personnalisables.
o Requêtes rapides avec Elasticsearch pour l’analyse des logs.
 Support et communauté :
o Support commercial disponible via Wazuh, grande communauté active.
o Documentation détaillée et nombreux forums.
 Sécurité et conformité :
o Très orienté sécurité : détection d’intrusion, gestion des vulnérabilités, conformité
à plusieurs normes (PCI-DSS, GDPR, etc.).
o Fonctionnalités spécifiques pour la surveillance de l'intégrité des fichiers et la
prévention des menaces.

VIII
 Coût :
o Open-source et gratuit, mais nécessite une infrastructure relativement importante
(serveurs Elastic Stack).
 Intégration avec d’autres outils :
o Peut s'intégrer avec des outils SIEM, systèmes d'alerte, et d'autres plateformes via
des API.
Fluentd
 Architecture et fonctionnalités principales :
o Outil de collecte et de transformation de logs basé sur une architecture d’agents
décentralisés.
o Supporte plus de 500 plugins pour la collecte, transformation et exportation des
logs vers divers systèmes (Elasticsearch, MongoDB, etc.).
 Scalabilité et performance :
o Très performant et scalable, souvent utilisé dans des environnements cloud et
distribués (Kubernetes, Docker).
o Adapté aux environnements nécessitant une collecte de logs à grande échelle avec
transformation en temps réel.
 Facilité de déploiement et de configuration :
o Relativement facile à installer et à configurer grâce à ses nombreux plugins et sa
documentation.
o Une bonne connaissance des pipelines de logs est nécessaire pour les
configurations avancées.
 Visualisation et analyse des logs :
o Fluentd n’offre pas de solution de visualisation native. Il est souvent associé à des
outils comme Elasticsearch et Kibana pour cela.
o Flexible dans le routage et la transformation des logs.
 Support et communauté :
o Grande communauté open-source, particulièrement dans les environnements
cloud-native.
o Support commercial via des entreprises comme Treasure Data.
 Sécurité et conformité :
o Pas spécifiquement axé sur la sécurité ou la conformité, mais peut être configuré
pour envoyer des logs à des systèmes de sécurité (comme Wazuh).

IX
 o Des plugins pour la sécurité des données peuvent être ajoutés.
 Coût :
o Gratuit et open-source, léger en termes de ressources comparé à d’autres solutions
complètes comme Wazuh.
 Intégration avec d’autres outils :
o Très flexible grâce à ses nombreux plugins, compatible avec la plupart des
systèmes de gestion des logs (Kafka, Elastic Stack, AWS, etc.).
Graylog
 Architecture et fonctionnalités principales :
o Basé sur une architecture centralisée, avec des agents collectant les logs et un
serveur centralisé pour les analyser.
o Axé sur la gestion des logs et l’analyse, avec des fonctionnalités de collecte,
stockage, et recherche des logs.
 Scalabilité et performance :
o Scalabilité modérée, mais moins robuste que Wazuh ou Fluentd pour des très
grandes infrastructures.
o Performances stables, mais peut nécessiter un réglage fin pour les environnements
à haut volume de logs.
 Facilité de déploiement et de configuration :
o Relativement simple à déployer, mais nécessite MongoDB et Elasticsearch pour
fonctionner.
o Documentation bien fournie, et un support payant est disponible.
 Visualisation et analyse des logs :
o Interface de visualisation dédiée avec des tableaux de bord personnalisables,
similaires à Kibana.
o Requêtes puissantes pour l'analyse des logs et génération d’alertes.
 Support et communauté :
o Communauté active, avec un support commercial proposé pour les versions
entreprises.
o Documentation riche et des plugins pour étendre les fonctionnalités.
 Sécurité et conformité :
o Moins orienté vers la sécurité que Wazuh, mais permet tout de même de suivre des
normes de conformité grâce à des logs détaillés et des capacités d'alerte.

X
 o Intégration possible avec des outils de sécurité via des plugins.
 Coût :
o Version open-source gratuite, mais une version entreprise avec plus de
fonctionnalités est disponible contre paiement.
 Intégration avec d’autres outils :
o Peut être intégré avec divers systèmes via des plugins, bien qu'il soit moins
flexible que Fluentd en termes de support des sources.
6. Synthèse de la comparaison
Critères Wazuh Fluentd Graylog
Architecture Client-serveur avec Agents Centralisé avec
Elastic Stack décentralisé MongoDB/Elasticsear
s ch
Scalabilité Haute, mais Très Scalabilité moyenne
demande scalable,
une bonne léger
infrastructur
e
Facilité de Moyenneme Relativeme Simple, mais
configuration nt complexe nt simple nécessite
(Elastic grâce aux MongoDB/Elasticsear
Stack) plugins ch
Visualisation Kibana Nécessite Interface native
(puissant un autre performante
mais outil
complexe) (comme
Kibana)
Support Communaut Grande Communauté active,
é active, communaut support entreprise
support é open-
commercial source
Sécurité Axé sur la Moins axé Moins axé sécurité
et sécurité sécurité
conformit (IDS,
é conformité)
Coût Gratuit Gratuit Gratuit (open-source)
(open- (open- ou payant (entreprise)
source) source)
Intégratio Bonne Très Intégration avec des

XI
 n intégration flexible plugins
avec avec plus
d’autres de 500
outils plugins

Chapitre 3 : Mise en œuvre des outils de gestion

5. Mise en œuvre de Wazuh
Installation et configuration
Importation de la clé GPG Wazuh :
# curl -s [Link] | gpg --no-default-keyring
--keyring gnupg-ring:/usr/share/keyrings/[Link] --import && chmod 644
/usr/share/keyrings/[Link]

Ajout du dépôt wazuh

echo "deb [signed-by=/usr/share/keyrings/[Link]]
[Link] stable main" | tee -a /etc/apt/[Link].d/[Link]

Installation des dépendances

sudo apt update && sudo apt upgrade && sudo apt-get install debconf adduser procps
curl gnupg apt-transport-https filebeat debhelper libcap2-bin

XII
Téléchargement du script en [Link] et du fichier de figuration [Link]
curl -sO [Link] && curl -sO
[Link]
Modification du fichier ./[Link]. Renseignons l’adresse IP et le nom du noeud,du
serveur et du dashboard. Dans notre cas,seul les adresses IP seront renseignée grâce a
cette commande nano/[Link].
Pour la configuration du fichier ./[Link], nous allons d’abord vérifier l’adreese ip de
notre machine qui porte le Wazuh.
Tapons la commande : #ifconfig

Maintenant éditions le fichier ./[Link]

XIII
L’exécution du script [Link] va nous permettre de créer un nouveau dossier
wazuh-certificates dans le répertoire [Link] dossier contient les clés de chiffrement.
bash ./[Link] -A
tar -cvf ./[Link] -C ./wazuh-certificates/ .
rm -rf ./wazuh-certificates

XIV
Installation du paquet wazuh-indexer,wazuh-manager et wazuh-dashboard
sudo apt install wazuh-indexer wazuh-manager wazuh-dashboard -y

Nous allons a présent configurer notre indexer. nous allons juste renseigner le IP de notre
serveur et le nom de l’indexer si nécessaires
nano /etc/wazuh-indexer/[Link]

Déploiement des certificats de l’indexer

NODE_NAME=node-1

XV
mkdir /etc/wazuh-indexer/certs
tar -xf ./[Link] -C /etc/wazuh-indexer/certs/ ./$NODE_NAME.pem
./$NODE_NAME-[Link] ./[Link] ./[Link] ./[Link]
mv -n /etc/wazuh-indexer/certs/$NODE_NAME.pem
/etc/wazuh-indexer/certs/[Link]
mv -n /etc/wazuh-indexer/certs/$NODE_NAME-[Link]
/etc/wazuh-indexer/certs/[Link]
chmod 500 /etc/wazuh-indexer/certs
chmod 400 /etc/wazuh-indexer/certs/*
chown -R wazuh-indexer:wazuh-indexer /etc/wazuh-indexer/certs

Nous allons activer wazuh au démarrage le service wazuh-indexer

systemctl daemon-reload
systemctl enable wazuh-indexer
systemctl start wazuh-indexer

Initiation du cluster
/usr/share/wazuh-indexer/bin/[Link]

XVI
Test du cluster
curl -k -u admin:admin [Link]

XVII
curl -k -u admin:admin [Link]

Configuration du (wazuh-manager). Redémarrage et vérification de l’état du service

wazuh-manager
systemctl daemon-reload
systemctl enable wazuh-manager
systemctl start wazuh-manager
systemctl status wazuh-manager

XVIII
Configuration du ficher filebeat. Nous allons juste ajouté le hosts:[Link]:9200
apt install filebeat #Installation du paquet filebeat
curl -so /etc/filebeat/[Link]
[Link] #Téléchargement du
fichier de confuguration filebeat
nano /etc/filebeat/[Link] #Edition du fichier de configuration
filebeat keystore create #Création du fichier Keystore

XIX
Ajout de l’utilisateur et du mot de passe par défaut
echo admin | filebeat keystore add username --stdin --force
echo admin | filebeat keystore add password --stdin --force

Téléchargement d’un modèle d’alerte

curl -so /etc/filebeat/[Link]
[Link]
[Link]
chmod go+r /etc/filebeat/[Link]

Installation des modules supplémentaire filebeat

curl -s [Link] | tar -xvz -C
/usr/share/filebeat/module

XX
Déploiement des certificats

Activation et redémarrage du service filebeat

systemctl daemon-reload
systemctl enable filebeat
systemctl start filebeat

Test
filebeat test output

XXI
6. Configuration du tableau de bord (dashbord). Nous
allons modifié la variable [Link]:
[Link]
nano /etc/wazuh-dashboard/opensearch_dashboards.yml

Déploiement des certificats du tableau de bord

XXII
 TEST
Activation et démarrage du service wazuh-dashbord. Apres avoir appliquer cette
commande accéder à l’interface web de wazuh à partir de votre adresse IP suivi du
port d’exposition
Exemple https:[Link]

7.

Maintenant nous allons nous connecter avec les informations suivantes que nous avons
configurer précédemment :
Username :admin
Password :admin

XXIII
Le test que nous venons de réaliser est fait à partir de la machine physique.
Maintenant même démarche pour ouvrir le dashboard au niveau de la machine qui
héberge Wazuh.

XXIV
MAINTENANT ESSAYONS DE FAIRE QUELQUES MODIFICATIONS, POUR
VOIR LES LOGS(ALERTES, MENACES,NIVEAU DE SECURITE….)
Test1 : On a ouvert le repertoire etc/passwd voir voir si le dashboard le détecte.
Résultat :

Test2 : On fait une connexion ssh avec localhost([Link]) en donnant un mot de passe
incorrect pour voir.
Résultat :

Test3 : On a modifié le fichier wazuh-manager en ajoutant quelques lignes pour voir s’il
va sortir les logs

XXV
On a ecrit une ligne de commande echo : une alerte est générée, pour montrer qu’il y a un
problème-
Résultat : Manager ne marche plus vu que son fichier est modifié.
Et on peut bien voir le message à la dernière ligne : Test d’alerte Wazuh : une alerte de
test a été générée.

Test4 : Apres correction du fichier Wazuh-manager on recherche d’alertes 3 heures avant.

Test5 :Voici une liste de tous les logs grâce au menu Full log (TOUS LES LOGS).

XXVI
 Résultat : En arrière-plan du Dashboard vous pouvez également apercevoir les journaux
logs qu’on a lancé. Cela nous permet d’avoir une certitude sur les messages qu’on a reçu.

1- Mise en en œuvre Fluentd

-Installation :
les commandes d'installation de Fluentd sur Ubuntu :
1. Mettre à jour les paquets :
sudo apt update
sudo apt upgrade

XXVII
Étape 2 : Ajouter le dépôt Fluentd
Fluentd peut être installé en utilisant le dépôt officiel de Treasure Data, qui maintient
une version prête pour les systèmes basés sur Debian/Ubuntu.
Pour installer td-agent (une version de Fluentd packagée pour la production) sur Ubuntu,
exécutez la commande
echo "deb [Link] focal contrib" | sudo tee
/etc/apt/[Link].d/[Link]

XXVIII
2. Installateur Fluentd (td-agent)
sudo apt install td-agent

3. Étape 3 : Vérifier l'installation

4. Après l'installation, vous pouvez vérifier si Fluentd (ou td-agent) a été correctement
installé en exécutant :
td-agent –version

5. Démarrez et activez le service Fluentd :

sudo systemctl start td-agent
Vous pouvez également vérifier l'état du service pour vous assurer qu'il fonctionne
correctement :
sudo systemctl status td-agent

XXIX
-Configuration:
Étape 1 : Fichier de configuration
Le fichier de configuration principal de Fluentd (ou td-agent) se trouve généralement ici :
/etc/td-agent/[Link]

Vous pouvez ouvrir ce fichier pour le modifier :

sudo nano /etc/td-agent/[Link]

XXX
Étape 4 : Redémarrer Fluentd après modification
Après avoir modifié le fichier de configuration ou installé un nouveau plugin, redémarrez
le service pour que les changements prennent effet :
sudo systemctl restart td-agent

Étape 5 : Vérifier les logs de Fluentd

Si quelque chose ne fonctionne pas correctement, vous pouvez vérifier les logs de Fluentd
pour trouver des erreurs :
sudo tail -f /var/log/td-agent/td

XXXI
 Étape 4 : Installation des plugins Fluentd
Fluentd peut utiliser des plugins pour interagir avec différentes sources et destinations de
données.
pour envoyer les logs vers Elasticsearch, vous devez installer le plugin fluent-plugin-
elasticsearch:
sudo td-agent-gem install fluent-plugin-elasticsearch

4.2 Vérifier les plugins installés

 Pour voir quels plugins sont installés, exécutez :
td-agent-gem list

4 : Tests et collection des logs Fluentd

Tester la configuration
Avant de redémarrer Fluentd ou de recharger la configuration, vous pouvez vérifier qu'il
n'y a pas d'erreurs.
Pour tester le fichier de configuration sans démarrer Fluentd :
td-agent --dry-run

XXXII
Surveillance et gestion de Fluentd
Pour surveiller Fluentd ou diagnostiquer un problème, vous pouvez consulter ses logs :
tail -f /var/log/td-agent/[Link]

Étapes pour tester la collecte des logs avec Fluentd :

1. Vérifiez la configuration Fluentd
 Assurez-vous que votre fichier de configuration Fluentd est correct et fonctionne. Le
fichier de configuration par défaut se trouve généralement dans /etc/td-agent/td-
[Link].

XXXIII
2. Redémarrer Fluentd
Après avoir configuré Fluentd, redémarrez le service pour appliquer
sudo systemctl restart td-agent

3. Générer des logs à partir de la source

Pour tester, vous devez générer des logs dans le fichier /var/log/syslog. pour envoyer un
message dans ce fichier de logs :
logger "Test message from Fluentd"

Cette commande ajouter un message dans /var/log/syslog.

4. Consulter les logs Fluentd

vérifier si Fluentd collecte correctement les logs :

tail -f /var/log/td-agent/[Link]

XXXIV
 1-Installation
[Link] prérequis pour l’installation de Graylog
Pour installer Graylog, plusieurs prérequis sont nécessaires en termes de matériel, logiciels et
configurations de base. Voici un résumé des principaux prérequis :
-Systèmes d'exploitation supporté
Linux : Graylog est principalement installé sur des systèmes Linux, tels que Ubuntu (18.04,
20.04), Debian, et CentOS.
Windows : Bien que possible, l'installation sur Windows est moins commune et peut nécessiter
plus de configurations.
- Prérequis logiciels
Java : Graylog nécessite Java 8 ou Java 11. Oracle JDK ou OpenJDK peuvent être utilisés.
MongoDB : Graylog utilise MongoDB pour stocker les configurations et les métadonnées. Une
version stable de MongoDB (>=3.6) est recommandée.
Elasticsearch : Pour l'indexation et la recherche des logs, Graylog repose sur Elasticsearch. Il
est recommandé d'utiliser une version compatible, généralement la version 7.x.
Graylog Server : Le serveur Graylog doit être téléchargé et installé à partir des packages fournis
par Graylog.
-Matériel recommandé
Processeur: CPU multicœur pour traiter un volume important de logs. Mémoire RAM: Au
moins 8 Go pour de petites installations. Plus la quantité de logs à traiter est grande, plus il faudra
augmenter la mémoire.
Stockage: Un stockage suffisant pour conserver les logs, idéalement avec un disque SSD pour de
meilleures performances d’écriture/lecture.
- Réseau et ports

XXXV
Ports à ouvrir pour Graylog :
 Port 9000 pour accéder à l'interface web.
- Utilisateurs
Un compte avec les privilèges sudo ou root pour installer et configurer les services nécessaires.

- Sécurité
ssurez-vous que toutes les connexions au serveur Graylog sont sécurisées en (HTTPS), surtout en
environnement de production. Configurer des certificats SSL pour l'interface web est fortement
recommandé.
1-2- Installer Java
Graylog nécessite une version compatible de Java. Installe OpenJDK 17
apt install openjdk-17-jdk

1-3- Installer MongoDB

MongoDB est utilisé pour stocker les configurations Graylog. Installez MongoDB en utilisant les
commandes suivantes :
- Ajouter la clé PGP de MongoDB
Téléchargez la clé et enregistrez-la directement dans le répertoire approprié
wget -qO - [Link] | gpg --dearmor | sudo tee
/etc/apt/[Link].d/[Link] > /dev/null
-Ajoutez le dépôt MongoDB
echo "deb [ arch=amd64,arm64 ] [Link] jammy/mongodb-org/6.0
multiverse" | sudo tee /etc/apt/[Link].d/[Link]
- Installez MongoDB
sudo apt update
sudo apt install -y mongodb-org
XXXVI
Démarrez MongoDB et activez-le au démarrage :
sudo systemctl start mongod
sudo systemctl status mongod

1-4- Installer Elasticsearch

Graylog utilise Elasticsearch pour l'indexation des logs. Installez la version compatible (7.x) :
-Ajouter la clé GPG et le dépôt Elasticsearch :
wget -qO - [Link] | sudo gpg --dearmor -o
/usr/share/keyrings/[Link] –
- Ajoutez le dépôt d'Elasticsearch à votre fichier de sources
echo "deb [signed-by=/usr/share/keyrings/[Link]]
[Link] stable main" | sudo tee /etc/apt/[Link].d/elastic-
[Link] Installez Elasticsearch :
- Installation de Elasticsearch

XXXVII
démarrez Elasticsearch :
Démarrez MongoDB et activez-le au démarrage :
sudo systemctl start Elasticsearch
sudo systemctl status Elasticsearch

XXXVIII
1- 5- Installer Graylog- téléchargé le fichier de dépôt de Graylog

-Extraire le fichier
tar -xvzf [Link]

2-configuration de Graylog
Accédez au répertoire extrait et modifiez le fichier de configuration. Le fichier principal de
configuration se trouve généralement dans le répertoire de Graylog.
Ouvrez le fichier [Link] (ou un fichier de configuration similaire) avec un éditeur de texte,
par exemple Nano :
cd ~/graylog-6.0.4
nano /etc/graylog/server/[Link]
Dans ce fichier, vous devez configurer les paramètres suivants :
password_secret : Vous pouvez générer un secret aléatoire en utilisant openssl rand -base64
32.

XXXIX
root_username : Décommentez cette ligne et modifiez le nom d'utilisateur si nécessaire et
met = admin
root_password_sha2 : Spécifiez le mot de passe de l'utilisateur root après l'avoir haché avec
SHA-256 (vous pouvez utiliser la commande echo -n "votre_mot_de_passe" | sha256sum
mongodb_uri : Il devrait mongodb://localhost/graylog.

3-Demarer Graylog

XL
 root@benir:~/graylog-6.0.4# java -jar [Link] server

5- accéder à l'interface Web de Graylog

Ouvrir un navigateur Web : Lancez un navigateur (comme Chrome, Firefox, etc.).
Entrez l'URL : Dans la barre d'adresse, tapez l'URL suivante et appuyez sur Entrée
URL : [Link]

XLI
6-Tests de l’outils graylog

XLII
Conclusion

En conclusion, la gestion des logs s’avère être un pilier essentiel pour la

surveillance des systèmes informatiques, notamment en matière de sécurité, de
détection d’incidents et d’analyse des performances. À travers ce projet, nous
avons exploré les concepts clés entourant les logs, leurs rôles cruciaux ainsi
que les avantages et limites de leur utilisation. L’étude comparative des outils
Wazuh, Fluentd et Graylog nous a permis de mettre en lumière leurs forces et
faiblesses respectives en fonction des critères d’analyse retenus.

La mise en œuvre pratique de ces trois outils a démontré leurs capacités à

collecter, analyser et centraliser efficacement les logs, bien que chacun
présente des particularités qui le rendent plus ou moins adapté selon les
besoins spécifiques. Les tests réalisés ont permis d’évaluer leur performance
dans un environnement concret, et d’établir des recommandations sur le choix
des solutions en fonction des contextes d’utilisation.

Ce travail ouvre la voie à une meilleure compréhension des enjeux de la

gestion des logs, et invite à une réflexion approfondie sur l’importance de
sélectionner et de configurer les outils adaptés pour renforcer la sécurité et
l’efficacité des infrastructures informatiques.

XLIII
Références bibliographiques
Wazuh
[Link]
[Link]

Fluentd
 Documentation Fluentd . Fluentd : Collecteur de données Open Source . Consulté à :
https ://docs .fluentd .org/
Turnbull, J. (2013). Le livre Logstash . James Turnbull.
Hightower, K. (2015). Fluentd: Unified Logging Layer . Consulté à :[Link]
 Documentation [Link] . _La pile Elastic : Elasticsearch,La suite Elastic :
Elasticsearch, Logstash, Kibana et Beats . Consulté à : https[Link]
Gerhards, R. (2009). Le protocole Syslog (RFC 5424).
Consommateur[Link]
 Gregg, B. (2013). Performances des systèmes : l'entreprise et le cloud . Prent
Ces références fournissent des informations clés sur la gestion des logs, Fluentd, et les outils
associés.

Graylog

XLIV
ANNEXES
Annexe 1 : Configuration système des machines utilisées
Wazuh

XLV
 Fluentd

Graylog

XLVI