Ceux qui me suivent sur twitter ont déjà entendu parlé de l'outil Graylog car je m'y suis intéressé dès 2014. Il s'agit d'un outil de centralisation, d'analyse et d'extraction des logs, pour ne garder que l'essentiel. Graylog remplace très bien le fameux serveur syslog-ng qui collecte les logs de tous vos serveurs.
Collecter les logs c'est bien, pouvoir les traiter c'est mieux. C'est là qu'intervient le couple Graylog / nxlog. En effet nxlog permet de collecter les journaux de systèmes comme Windows, Unix, Linux, BSD ou Android. Ce qui vous permet d'être proactif sur la gestion des incidents de votre parc, à l'image du chemin trop long dans les noms de fichiers qui provoque des erreurs. C'est un classique.
Je vous propose aujourd'hui de découvrir comment Graylog a été implémenté au sein du rectorat de Rennes avec nxlog. Johan Thomas est responsable DAIP Services au rectorat de l’académie de Rennes :
Cette solution a l'avantage d'être évolutive et basée sur deux outils open source, en plus de collecter les évènements au plus proche des utilisateurs. Le tout se déploie très facilement grâce à votre Active Directory et l'installation de nxlog via GPO. Une belle solution à mettre en pratique, tout comme celle de blablacar qui était plus orientée développement.
J'ai toutefois une légère inquiétude quand à la vie privée des utilisateurs, car en effet le journal d'évènement Windows est très causant et permet de remonter de très nombreuses informations. Reste à fixer le curseur pour n'utiliser que les données liées à l'infrastructure.
Auteur : Mr Xhark
Fondateur du blog et passionné par les nouvelles techno, suivez-moi sur twitter
7 commentaires
C'est le flicage à grande échelle sur les postes du MEN, absolument tout est consigné et il y a peu de place pour la vie privée.
Mieux vaut utiliser son propre appareil avec une connexion propre si on veut faire autre chose qu'utiliser un navigateur ou LibreOffice.
[…] Graylog + nxlog pour exploiter votre parc machine […]
@Matt:
Je viens de voir que ma présentation a été reprise sur ce site 🙂 Merci!
Pour répondre aux questions (pertinentes!) sur flicage et vie privée, c'est une problématique qui nous a inquiété effectivement.
Lors de la présentation je n'ai pas forcément eu le temps de détailler tout cela. Pour info, j'ai été amené à en faire une autre aux JRES: https://www.jres.org/fr/videotheque?iditem=27&resolution=720
En tout cas pour répondre simplement, si l'on fait cela c'est avant tout pour l'utilisateur (j'insiste bien là dessus), pour fournir un meilleur service, une meilleure assistance et être plus efficace dans les nombreux changements qui surviennent au niveau d'un utilisateur sur un parc info.
Pour aller plus dans le détail, nous sommes soumis au respect des règles sur la conservation des fichiers journaux et nous n'avons pas le droit non plus de faire n'importe quoi pour surveiller les utilisateurs. Les règles CNIL, ANSSI sont très claires là dessus.
Les chartes informatique pour les utilisateurs et les chartes administrateur des systèmes d'information sont aussi là pour cela. Cela pose un cadre pour une personne ayant des droits étendus sur un système d'information quel qu'il soit (comme celui là) et ça protège donc l'utilisateur.
Si vous voulez plus de détails ne pas hésiter !
@Johan: merci pour ton message 🙂 Est-ce que tu détailles quelque part la mise en oeuvre (how to) ? Si non, tu es le bienvenue sur BM pour le faire en tant qu'invité 😉
Bonjour,
Merci pour ce retour d'experience et ces informations. Nous testons la solution au sein d'un centre hospitalier et souhaitons avoir plus d'informations sur un point. Vous précisez dans l'article :"nous avons mis en place un ciblage particulier sur les temps d'ouverture de session des postes, les lenteurs d'application des stratégies de groupe, les erreurs de résolution, etc". Pouvez vous détailler comment vous parvenez à afficher au sein d'un dashboard les temps d'ouverture de session et duration des GPO ? Quel sont les journaux que vous remontez et la requête que vous réalisez ?
Merci d'avance !
@Johan:
Bonjour,
Merci pour ce retour d'experience et ces informations. Nous testons la solution au sein d'un centre hospitalier et souhaitons avoir plus d'informations sur un point. Vous précisez dans l'article :"nous avons mis en place un ciblage particulier sur les temps d'ouverture de session des postes, les lenteurs d'application des stratégies de groupe, les erreurs de résolution, etc". Pouvez vous détailler comment vous parvenez à afficher au sein d'un dashboard les temps d'ouverture de session et duration des GPO ? Quel sont les journaux que vous remontez et la requête que vous réalisez ?
Merci d'avance !
Bonjour,
J'étudie Graylog actuellement (nouvelle version depuis 1 semaine) dans le cadre de mon contrat professionnel. Je vous remercie pour ce retour d'expérience sur l'utilisation de Graylog, vos commentaires ont consolidés ma façon de faire.
Merci encore !