L’objectif de cet atelier était d’arriver à mettre en place un serveur concentrateur et consolidateur de logs. Au delà de cet objectif, une première partie creolisation a été réalisé.
Les composants logiciels étudiés sont le résultat d’une prospective faite par des participants et sont aussi utilisés dans les centre-serveurs du MEDDE, à noter que la partie java tourne sous l’open-jdk :
- RSYSLOG client
- RSYSLOG serveur
- Logstash
- Elasticsearch
- Kibana
L’un des problème soulevé durant l’atelier est la confidentialité et la sécurisation des serveurs. Shield, l’un des composants de la chaîne Elasticsearch, fait ce travail mais a été écarté car c’est un composant payant. L’alternative est d’utiliser NGINX. Il existe également une autre piste avec le logiciel SearchGuard.
L’ensemble de l’atelier a mené à la rédaction d’un tutoriel d’installation de la chaîne Elasticsearch dans le wiki de la forge EOLE.
Difficultés rencontrées :
- la mise en œuvre de la chaîne Logstash, Elasticsearch, Kibana n’a pas posé de problème particulier ;
- son intégration dans une chaîne client/serveur RSYSLOG n’a pas abouti du fait de pas mal d’incompréhensions autour des certificats ;
- les difficultés rencontrées à ce stade furent plus d’ordre “cosmétique”, notamment pour la syntaxe JSON ;
- une autre difficulté à ce stade fut la compréhension et la prise en main de grok pour les requêtes, pour y pallier l’utilisation de grok debugger était un plus ;
- l’utilisation de Kibana n’est très intuitive et a occasionné pas mal d’incompréhensions et d’autres déboires ;
- la chaîne s’est complètement écroulée lorsque les saboteurs du groupe instrumentation y ont branchés des serveurs. Les parties Kibana et Elasticsearch ont du être complètement réinstallées.
Reste à faire :
- packaging debian autour des différents composants ;
- mise en œuvre des envois via RSYSLOG / gestion des certificats ;
- analyse d’architecture pour la robustesse ;
- comparaison NGINX vs SearchGuard.