Graylog

Blocage en readonly

Erreur rencontrée:
blocked by: [FORBIDDEN/12/index read-only / allow delete (api)];

curl -XPUT -H "Content-Type: application/json" http://192.168.10.208:9200/_all/_settings -d '{"index.blocks.read_only_allow_delete": null}'

Iptables

apt-get install iptables-persistent

chkconfig --list | grep iptables
iptables       	0:off	1:off	2:on	3:on	4:on	5:on	6:off 

chkconfig iptables on

Redirection du port UDP 514 externe vers 1514 interne (et 515)

iptables -t nat -A PREROUTING -p UDP -m udp --dport 514 -j REDIRECT --to-ports 10514
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 514 -j REDIRECT --to-ports 10514

iptables-save > /etc/sysconfig/iptables

Installation d'un plugin

Exemple pour le plugin Telegram (Non fonctionnel pour l'instant avec Graylog 4.X)

Copier le fichier jar dans :
/usr/share/graylog-server/plugin

Vérifier les droits :
chown root:root graylog-plugin-telegram-notification-2.3.1.jar

Redémarrer l'instance:
systemctl restart graylog-server

Configuration de l'envoi de mail

Dans l'interface associer un email à un nouvel utilisateur, puis le selectionner lors de la création d'une nouvelle notification email.

Pour que l'envoi des emails fonctionne, il faudra modifier le fichier de configuration de graylog:

vi /etc/graylog/server/server.conf

Exemple avec Gandi:

[...]
# Email transport
transport_email_enabled = true
transport_email_hostname = mail.gandi.net
transport_email_port = 465
transport_email_use_auth = true
transport_email_auth_username = mailer@domain
transport_email_auth_password = <password>
transport_email_subject_prefix = [graylog]
transport_email_from_email = mailer@domain

# Encryption settings
#
# ATTENTION:
#    Using SMTP with STARTTLS *and* SMTPS at the same time is *not* possible.

# Use SMTP with STARTTLS, see https://en.wikipedia.org/wiki/Opportunistic_TLS
transport_email_use_tls = false

# Use SMTP over SSL (SMTPS), see https://en.wikipedia.org/wiki/SMTPS
# This is deprecated on most SMTP services!
transport_email_use_ssl = true
[...]