L'objectif est de rediriger les logs ssh d'un serveur sous debian (raspberry pi) vers un serveur de logs Graylog.

Voici le schéma:

schéma redirection de logs

Redirection des logs ssh avec rsyslog

La configuration de l'enregistrement des logs est faite avec le service rsyslog.

La ligne suivante redirige les logs d'authentification ver le fichier /var/log/auth.log

auth,authpriv.* /var/log/auth.log

Pour rediriger les logs ssh vers le serveur graylog, on va donc ajouter la ligne suivante au fichier de configuration rsyslog.conf.

pi@Raspi:~ $ sudo vi /etc/rsyslog.conf

auth,authpriv.\*     @192.168.1.116:1555

On redémarre ensuite rsyslog.

pi@Raspi:~ $ sudo systemctl restart rsyslog
pi@Raspi:~ $

Configuration du serveur Graylog pour recevoir le log

On ouvre le port sur le pare-feu:

[root@Graylog ~]# firewall-cmd --zone=public --add-port=1515/udp --permanent
success
[root@Graylog ~]# firewall-cmd --reload
success
[root@Graylog ~]# firewall-cmd --list-ports
9000/tcp 1514/udp 1515/udp
[root@Graylog ~]#

On ajoute ensuite l'entrée ssh dans l'interface Graylog.

redirection de logs vers graylog

Les logs sont maintenant visibles.

graphe logs ssh

Envoyer les logs ssh vers un serveur Graylog

Redirection des logs ssh avec rsyslog

Configuration du serveur Graylog pour recevoir le log