L’objectif de cet atelier était d’arriver à mettre en place un serveur concentrateur et consolidateur de logs. Au delà de cet objectif, une première partie creolisation a été réalisé.

Les composants logiciels étudiés sont le résultat d’une prospective faite par des participants et sont aussi utilisés dans les centre-serveurs du MEDDE, à noter que la partie java tourne sous l’open-jdk :

L’un des problème soulevé durant l’atelier est la confidentialité et la sécurisation des serveurs. Shield, l’un des composants de la chaîne Elasticsearch, fait ce travail mais a été écarté car c’est un composant payant. L’alternative est d’utiliser NGINX. Il existe également une autre piste avec le logiciel SearchGuard.

L’ensemble de l’atelier a mené à la rédaction d’un tutoriel d’installation de la chaîne Elasticsearch dans le wiki de la forge EOLE.

Difficultés rencontrées :

  • la mise en œuvre de la chaîne Logstash, Elasticsearch, Kibana n’a pas posé de problème particulier ;
  • son intégration dans une chaîne client/serveur RSYSLOG n’a pas abouti du fait de pas mal d’incompréhensions autour des certificats ;
  • les difficultés rencontrées à ce stade furent plus d’ordre « cosmétique », notamment pour la syntaxe JSON ;
  • une autre difficulté à ce stade fut la compréhension et la prise en main de grok pour les requêtes, pour y pallier l’utilisation de grok debugger était un plus ;
  • l’utilisation de Kibana n’est très intuitive et a occasionné pas mal d’incompréhensions et d’autres déboires ;
  • la chaîne s’est complètement écroulée lorsque les saboteurs du groupe instrumentation y ont branchés des serveurs. Les parties Kibana et Elasticsearch ont du être complètement réinstallées.

Reste à faire :

  • packaging debian autour des différents composants ;
  • mise en œuvre des envois via RSYSLOG / gestion des certificats ;
  • analyse d’architecture pour la robustesse ;
  • comparaison NGINX vs SearchGuard.