[SOC] Graylog

Introduction

Graylog est un SIEM qui permet de centraliser vos logs et de faire des queries pour faire des analyses de threat hunting notamment.

 

Sources

• https://www.it-connect.fr/tuto-graylog-sur-debian-centraliser-et-analyser-logs/
• https://www.it-connect.fr/envoyer-les-logs-windows-vers-graylog-avec-nxlog/

Installation

Serveur (Debian 12)

Tout d'abord, configurez correctement la timezone ou le serveur de temps :

timedatectl set-timezone Europe/Paris

Installez quelques outils de base dont nous auront besoin pour la suite :

apt update && apt install -y install curl lsb-release ca-certificates gnupg2 pwgen

MongoDB

curl -fsSL https://www.mongodb.org/static/pgp/server-6.0.asc | sudo gpg -o /usr/share/keyrings/mongodb-server-6.0.gpg --dearmor && echo "deb [ signed-by=/usr/share/keyrings/mongodb-server-6.0.gpg] http://repo.mongodb.org/apt/debian bullseye/mongodb-org/6.0 main" | sudo tee /etc/apt/sources.list.d/mongodb-org-6.0.list && apt update && apt-get install -y mongodb-org

Vous allez obtenir une erreur par rapport à libssl à ce stade et c'est normal, passez à la suite.

Rendez-vous sur le site suivant pour trouver la version la plus récente de libssl et copiez le lien :

• http://archive.ubuntu.com/ubuntu/pool/main/o/openssl/

Faite CTRL+F et cherchez "libssl1.1_1.1.1f-1ubuntu2." puis sélectionnez la version deb amd64.

Une fois l'URL récupérée, vous devriez faire quelque chose comme ça :

wget http://archive.ubuntu.com/ubuntu/pool/main/o/openssl/libssl1.1_1.1.1f-1ubuntu2.23_amd64.deb && dpkg -i libssl1.1_1.1.1f-1ubuntu2.23_amd64.deb

Puis réinstallez le paquet mongodb-org :

apt install -y mongodb-org

Et lancez le service :

sudo systemctl daemon-reload && sudo systemctl enable --now mongod.service

Si l'installation de MongoDB s'est mal passée c'est que vous n'avez pas téléchargé le bon paquet sur le site d'Ubuntu.

Si l'installation de MongoDB s'est bien passée mais que le service ne démarre pas, assurez-vous de passer le CPU en mode host s'il s'agit d'une VM.