Skip to content

K3RM1T-CYBER/AnaLog

BranchesTags

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

64 Commits
collector
collector
 
 
db
db
 
 
transfo
transfo
 
 
web
web
 
 
README.md
README.md
 
 
docker-compose.yml
docker-compose.yml
 
 

Repository files navigation

AnaLog

Manuel d'installation

Côté serveur

⚠️ Il est requis que docker et docker-compose soit installés sur le serveur ainsi que les ports 514 et 80/443 ne soit pas utilisés par d'autres services.

  • Cloner le répertoire GitHub suivant : 
    git clone https://github.com/Nundir/AnaLog.git && cd Analog
  • Construire et démarrer le serveur AnaLog : 
    docker-compose up -d --build

Côté client

  • Installation des paquets requis

    sudo apt install rsyslog rsyslog-gnutls rsync

    ℹ️ rsyslog : envoi des logs de la machine cliente vers le serveur Analog.

    ℹ️ rsyslog-gnutls : permet de chiffrer les logs envoyés par la machine cliente.

    ℹ️ rsync : outil utilisé pour le transfert de certificat de l'autorité de certification vers le client.

  • Création du dossier rsyslog-tls qui va accueillir les certificats pour chiffrer les logs envoyés

    sudo mkdir /etc/rsyslog-tls
sudo chown -R $USER:$USER /etc/rsyslog-tls

  • Depuis le serveur Analog, créez les certificat du client à l'aide de la commande suivante :

    docker exec -it collector cert-client

    ⚠️ Assurez-vous d'avoir le droit d'écriture pour envoyer les certificats depuis le serveur à l'aide de la commande rsync.

  • Sur le client : édition du fichier /etc/rsyslog.conf :

    # Les modules utilisés pour le client AnaLog
$ModLoad imuxsock
module(load="imfile")

# Indique que les flux vont être chiffrés en TLS par défault 
$DefaultNetstreamDriver gtls

# Le triplé de lignes suivant sert  à localiser :
# 1 - le certificat racine ca.pem
# 2 - le certificat de la machine <common-name>.crt
# 3 - sa clé privée <common-name>.pem
$DefaultNetstreamDriverCAFile /etc/rsyslog-tls/ca.pem
$DefaultNetstreamDriverCertFile /etc/rsyslog-tls/<common-name>.crt
$DefaultNetstreamDriverKeyFile /etc/rsyslog-tls/<common-name>.pem

# Toutes les machines qui ont un certificat signé par la CA peut envoyer des logs au serveur
$ActionSendStreamDriverAuthMode anon
# Force le mode TLS
$ActionSendStreamDriverMode 1

##########
# Exemple pour la lecture de fichier de journal comme Apache :
input(type="imfile"
            File="/var/log/apache2/access.log"
            Tag="apache"
)
##########

*.* @@<ip_analog_server>:514

  • Redémarrer le service rsyslog :

    sudo systemctl restart rsyslog

⚠️ CHANGEZ VOTRE MOT DE PASSE ET VOTRE ADRESSE EMAIL DÈS VOTRE PREMIÈRE CONNEXION SUR ANALOG

About

No description, website, or topics provided.

Resources

Readme
Activity

Stars

0 stars

Watchers

0 watching

Forks

0 forks
Report repository

Releases

No releases published

Packages

No packages published

Contributors 2

  •  
  •  

Languages