Graylog
Blocage en readonly
Erreur rencontrée:
blocked by: [FORBIDDEN/12/index read-only / allow delete (api)];
curl -XPUT -H "Content-Type: application/json" http://192.168.10.208:9200/_all/_settings -d '{"index.blocks.read_only_allow_delete": null}'
Iptables
apt-get install iptables-persistent
chkconfig --list | grep iptables
iptables 0:off 1:off 2:on 3:on 4:on 5:on 6:off
chkconfig iptables on
Redirection du port UDP 514 externe vers 1514 interne (et 515)
iptables -t nat -A PREROUTING -p UDP -m udp --dport 514 -j REDIRECT --to-ports 10514
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 514 -j REDIRECT --to-ports 10514
iptables-save > /etc/sysconfig/iptables
Installation d'un plugin
Exemple pour le plugin Telegram (Non fonctionnel pour l'instant avec Graylog 4.X)
Copier le fichier jar dans :
/usr/share/graylog-server/plugin
Vérifier les droits :
chown root:root graylog-plugin-telegram-notification-2.3.1.jar
Redémarrer l'instance:
systemctl restart graylog-server
Configuration de l'envoi de mail
Dans l'interface associer un email à un nouvel utilisateur, puis le selectionner lors de la création d'une nouvelle notification email.
Pour que l'envoi des emails fonctionne, il faudra modifier le fichier de configuration de graylog:
vi /etc/graylog/server/server.conf
Exemple avec Gandi:
[...]
# Email transport
transport_email_enabled = true
transport_email_hostname = mail.gandi.net
transport_email_port = 465
transport_email_use_auth = true
transport_email_auth_username = mailer@domain
transport_email_auth_password = <password>
transport_email_subject_prefix = [graylog]
transport_email_from_email = mailer@domain
# Encryption settings
#
# ATTENTION:
# Using SMTP with STARTTLS *and* SMTPS at the same time is *not* possible.
# Use SMTP with STARTTLS, see https://en.wikipedia.org/wiki/Opportunistic_TLS
transport_email_use_tls = false
# Use SMTP over SSL (SMTPS), see https://en.wikipedia.org/wiki/SMTPS
# This is deprecated on most SMTP services!
transport_email_use_ssl = true
[...]