Graylog – Installation du serveur

Graylog est une plateforme Open Source sous licence GPLv3 de gestion, centralisation et analyse de logs née en 2010 et développée par la société Graylog, Inc. basée à Houston aux Etats-Unis.
Ses principales caractéristiques sont :

• Centralisation des logs émis par un ensemble de serveurs distants
• Stockage des logs dans une base de données Elasticsearch ( en cluster éventuellement)
• Stockage des données de configuration et métadonnées dans une base de données MongoDB (répliquée éventuellement)
• Moteur Graylog d’analyse et de gestion des logs pourvu d’une interface Web Java
• Configuration de tableaux de bord personnalisés avec widgets
• Authentification par l’intermédiaire d’un annuaire LDAP
• Affichage statistique sous forme de courbes, camemberts, histogrammes, etc.
• Outil de recherche puissant via une syntaxe optimisée
• Collecte des logs via protocole Syslog/Rsyslog, entre autres formats (GELF, Beats, etc.)
• Gestion des logs venant de serveurs Debian, Ubuntu, CentOS, etc. … ou encore MacOS X et Windows Server (via NXLog et Graylog Sidecar)
• Catégorisation des logs en temps réel par l’intermédiaire de streams

 

Objectif

 

L’objectif de cet article est l’installation et la configuration d’un serveur auto-hébergé Graylog en version 2.1.2 sur une distribution Linux Debian Jessie 8.4 32bits.

 

Schéma logique

 

 

Pré-requis

 

1. Pré-requis avant réalisation

• Un serveur Debian Jessie 8.4 32 bits fonctionnel (installation basique avec utilitaires usuels du système et service SSH)
• Le serveur doit posséder des ressources conséquentes, notamment du point de vue du CPU (pour la partie Graylog-Server) et de la RAM (pour la partie Elasticsearch). Le serveur installé ici pour les tests est en 32 bits, il est évident qu’en production il faudra un serveur 64 bits
• Il est fortement conseillé que le serveur Graylog et tous les serveurs émetteurs de logs soient synchronisés via NTP avec la même source de temps
• Packages de base supplémentaires : sudo, resolvconf
• Domaine utilisé : opensharing.priv

 

2. Configuration réseau initiale

 

Contenu initial du fichier /etc/network/interfaces :

auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
	address 192.168.1.70
	netmask 255.255.255.0
	network 192.168.1.0
	broadcast 192.168.1.255
	gateway 192.168.1.1
	dns-search opensharing.priv
	dns-nameservers 192.168.1.11 192.168.1.12

 
Contenu initial du fichier /etc/hosts :

127.0.0.1	localhost.localdomain           localhost
192.168.1.70	graylog.opensharing.priv        graylog

Rmq : L’adresse 127.0.1.1 doit être retirée sur un serveur à IP fixe et remplacée par cette dernière, tel que l’exemple ci-dessus.
 
Contenu initial du fichier /etc/host.conf :

order hosts, bind
multi on

 
Contenu initial du fichier /etc/resolv.conf :

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 192.168.1.11
nameserver 192.168.1.12
search opensharing.priv

Rmq :
Le fichier /etc/resolv.conf ne doit pas être édité dès lors que le paquet resolvconf a été installé.

Pour prendre en compte les modifications des fichiers de configuration relatifs au réseau, redémarrage du service réseau :

# /etc/init.d/networking restart
# /etc/init.d/networking reload

 

Réalisation

 

Dispositions préalables

 

Démarrer avec un système à jour

# apt update
# apt upgrade

 

Suppression d’un éventuel Java 7 installé

Graylog 2.1.2 nécessite Java 8 donc il est nécessaire de supprimer Java 7 si ce dernier est installé sur le système.

# apt purge openjdk-7-jre openjdk-7-jre-headless

 

Installation de Java 8 et autres paquets pré-requis

La branche Backports de Debian Jessie est nécessaire pour installer la version 8 de Java, il est donc nécessaire de l’ajouter à la liste des branches dans le fichier /etc/apt/sources.list :

# nano /etc/apt/sources.list

deb http://ftp.fr.debian.org/debian/ jessie main
deb-src http://ftp.fr.debian.org/debian/ jessie main

deb http://security.debian.org/ jessie/updates main
deb-src http://security.debian.org/ jessie/updates main

deb http://ftp.fr.debian.org/debian/ jessie-updates main
deb-src http://ftp.fr.debian.org/debian/ jessie-updates main

deb http://ftp.debian.org/debian jessie-backports main

Il faut alors mettre à jour la liste des paquets disponibles depuis les dépôts pour prendre en compte la branche nouvellement ajoutée.

# apt update
[...]
Réception de : 1 http://ftp.debian.org jessie-backports InRelease [166 kB]
Réception de : 4 http://ftp.debian.org jessie-backports/main Translation-en [509 kB]                 
Réception de : 5 http://ftp.debian.org jessie-backports/main i386 Packages [748 kB]
[...]

Puis procéder à l’installation de Java 8 et de certains paquets qui nous seront utiles par la suite :

# apt install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen curl
# java -version
openjdk version "1.8.0_111"
OpenJDK Runtime Environment (build 1.8.0_111-8u111-b14-2~bpo8+1-b14)
OpenJDK Server VM (build 25.111-b14, mixed mode)

 

Installation de MongoDB

 
MongoDB est utilisé ici pour le stockage des métadonnées et données de configuration du serveur Graylog.
Il s’agit d’un SGBD non relationnel et NoSQL sans schéma prédéfini des données où les documents (équivalents des enregistrements des SGBDR) sont enregistrés aux formats BSON et JSON dans des collections (équivalentes des tables des SGBDR).

# apt install mongodb-server
# systemctl daemon-reload
# systemctl enable mongodb.service
Synchronizing state for mongodb.service with sysvinit using update-rc.d...
Executing /usr/sbin/update-rc.d mongodb defaults
Executing /usr/sbin/update-rc.d mongodb enable
# systemctl restart mongodb.service

 

Installation de Elasticsearch

 
Elasticsearch est un moteur de recherche libre écrit en Java et utilisant la bibliothèque Apache Lucene, écrite également en Java, permettant l’indexation des données sous forme de documents au format JSON pour procéder à leur analyse et recherche en temps réel.
Au moment de ces tests, la version disponible sur les dépôts Debian est la 1.0.3 et sur le Backports la 1.6.2. Or, la dernière version officielle disponible est la 5.0.0. De plus, la version 1.0.3 de Elasticsearch installera automatiquement Java 7, qui est incompatible avec la dernière version de Graylog. Toutefois, la version 5.0.0 n’est pas compatible avec la version 2.1.2 de Graylog. Il nous faut donc récupérer la dernière version de Elasticsearch qui précède la 5.0.0, à savoir la 2.4.1.

# mkdir /home/adminsys/elasticsearch
# cd /home/adminsys/elasticsearch
# wget https://download.elastic.co/elasticsearch/release/org/elasticsearch/distribution/deb/elasticsearch/2.4.1/elasticsearch-2.4.1.deb
# dpkg -i elasticsearch-2.4.1.deb

Modification de la configuration :

# nano /etc/elasticsearch/elasticsearch.yml

[...]
# ---------------------------------- Cluster -----------------------------------
#
# Use a descriptive name for your cluster:
#
cluster.name: graylog
#
[...]

# systemctl daemon-reload
# systemctl enable elasticsearch.service
Synchronizing state for elasticsearch.service with sysvinit using update-rc.d...
Executing /usr/sbin/update-rc.d elasticsearch defaults
Executing /usr/sbin/update-rc.d elasticsearch enable
Created symlink from /etc/systemd/system/multi-user.target.wants/elasticsearch.service to /usr/lib/systemd/system/elasticsearch.service.
# systemctl restart elasticsearch.service

 

Installation de Graylog

L’installation du serveur Graylog consiste, dans un premier temps, à installer un nouveau dépôt puis, dans un second temps, à installer le serveur à partir de ce dépôt nouvellement ajouté.
 

# mkdir /home/adminsys/graylog
# cd /home/adminsys/graylog
# wget https://packages.graylog2.org/repo/packages/graylog-2.1-repository_latest.deb
# dpkg -i graylog-2.1-repository_latest.deb
# cat /etc/apt/sources.list.d/graylog.list
deb https://packages.graylog2.org/repo/debian/ stable 2.1
# apt update
[...]
Ign https://packages.graylog2.org stable InRelease
Réception de : 5 https://packages.graylog2.org stable Release.gpg [473 B]
Réception de : 7 https://packages.graylog2.org stable Release [7 346 B]             
Réception de : 8 https://packages.graylog2.org stable/2.1 i386 Packages [3 251 B]
[...]
# apt install graylog-server

Modification de la configuration :
Nous aurons besoin de deux mots de passe cryptés, que nous allons générer avec deux commandes différentes.

# pwgen -N 1 -s 96
vZxH9L9yEmpig1t1RSx2AmSENpgI1s6iqyYilhC8MhlMCOodHkuAiAS8VTSf2824FmF4LWnvLpsaICgI9DjCzmxp6zD4b5bR
# echo -n password | sha256sum
5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8  -

Ci-dessus, le mot de passe de l’utilisateur admin sera password.
Il faut ensuite modifiier le fichier /etc/graylog/server/server.conf afin, entre autres, d’ajouter les mots de passe générés.

# nano /etc/graylog/server/server.conf

[...]
password_secret = vZxH9L9yEmpig1t1RSx2AmSENpgI1s6iqyYilhC8MhlMCOodHkuAiAS8VTSf2824FmF4LWnvLpsaICgI9DjCzmxp6zD4b5bR
[...]
root_password_sha2 = 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8
[...]
root_timezone = Europe/Paris
[...]
rest_listen_uri = http://graylog.opensharing.priv:9000/api/
[...]
web_listen_uri = http://graylog.opensharing.priv:9000/
[...]
elasticsearch_cluster_name = graylog
[...]
elasticsearch_shards = 1
elasticsearch_replicas = 0
[...]

# systemctl daemon-reload
# systemctl enable graylog-server.service
Synchronizing state for graylog-server.service with sysvinit using update-rc.d...
Executing /usr/sbin/update-rc.d graylog-server defaults
Executing /usr/sbin/update-rc.d graylog-server enable
Created symlink from /etc/systemd/system/multi-user.target.wants/graylog-server.service to /usr/lib/systemd/system/graylog-server.service.
# systemctl restart graylog-server.service

Nous pouvons observer un message d’erreur non bloquant relatif au service graylog-server :

# systemctl status graylog-server.service
OpenJDK Server VM warning: You have loaded library /usr/share/elasticsearch/lib/sigar/libsigar-x86-linux.so which might have disabled stack guard.

Pour le corriger :

# apt install execstack
# execstack -c /usr/share/graylog-server/lib/sigar/libsigar-x86-linux.so

 

Vérification des éléments installés

 

Interface Web de Graylog

Pour cela, il suffit de se connecter via un navigateur à l’URL suivante :
http://graylog.opensharing.priv:9000
L’interface Web se lance correctement :

On nous demande alors les identifiants déclarés : admin et password

L’identification aboutit :


Mais on remarque une notification :

Qui nous informe qu’aucun format de message (input) n’a été défini pour la réception des messages :

C’est en effet le cas :

Les clients monitorés utilisent rsyslog ou syslog-ng, nous allons donc définir un input de type Syslog UDP que nous choisissons parmi la liste déroulante :

Après avoir cliqué sur Launch new input, la fenêtre suivante apparait, que nous remplissons en spécifiant un port supérieur à 1024 car les ports situés en-dessous de cette valeur sont réservés :

La valeur 0.0.0.0 signifie une écoute sur toutes les interfaces du serveur Graylog.
Une fois cliqué sur le bouton Save, l’input Syslog UDP se lance automatiquement :

Le serveur est maintenant fonctionnel, mais en allant sur l’onglet Search on remarque qu’aucun message n’est encore reçu, et c’est normal.
Il faut pour cela modifier la configuration du service rsyslog/syslog-ng d’un client à monitoré, ce qui sera développé dans la section Pour aller plus loin.

PAPL01

 

Connexion à MongoDB

Comme vu avec l’interface Web de Graylog, tout semble fonctionnel, mais il est toujours mieux de s’en assurer.
La connexion à MongoDB se fait via la commande suivante :

mongo host:port/database -u user -p password

La configuration de Graylog ne spécifie pas d’identifiant de connexion et utilise le port par défaut, à savoir 27017.
La base de données générée par le serveur Graylog se nomme graylog.

# mongo localhost:27017/graylog
MongoDB shell version: 2.4.10
connecting to: localhost:27017/graylog
> 

Connexion apparemment réussie. Vérifions simplement si nous sommes bien connectés à la base de données graylog :

> db
graylog

C’est le cas.
 
PAPL02

 

Connexion à Elasticsearch

La connexion à Elasticsearch se fait par requêtes HTTP donc nous pouvons utiliser soit la commande curl, soit le navigateur Web :

# curl -X GET 'http://localhost:9200/'
{
  "name" : "Longshot",
  "cluster_name" : "graylog",
  "cluster_uuid" : "S_pSDHhuRLiUvccchHVQKg",
  "version" : {
    "number" : "2.4.1",
    "build_hash" : "c67dc32e24162035d18d6fe1e952c4cbcbe79d16",
    "build_timestamp" : "2016-09-27T18:57:55Z",
    "build_snapshot" : false,
    "lucene_version" : "5.5.2"
  },
  "tagline" : "You Know, for Search"
}

Idem via le navigateur Web :

La connexion est fonctionnelle.
Mais pour savoir l’état du cluster, la commande suivante est requise :

# curl -X GET 'http://localhost:9200/_cluster/health?pretty=true'
{
  "cluster_name" : "graylog",
  "status" : "green",
  "timed_out" : false,
  "number_of_nodes" : 2,
  "number_of_data_nodes" : 1,
  "active_primary_shards" : 1,
  "active_shards" : 1,
  "relocating_shards" : 0,
  "initializing_shards" : 0,
  "unassigned_shards" : 0,
  "delayed_unassigned_shards" : 0,
  "number_of_pending_tasks" : 0,
  "number_of_in_flight_fetch" : 0,
  "task_max_waiting_in_queue_millis" : 0,
  "active_shards_percent_as_number" : 100.0
}

Le statut green signifie que le cluster est fonctionnel et opérationnel.
Pour afficher l’état des index :

# curl -X GET 'http://localhost:9200/_cat/indices?v'
health status index     pri rep docs.count docs.deleted store.size pri.store.size 
green  open   graylog_0   1   0          0            0       159b           159b

On remarque que la colonne docs.count est à 0 car nous n’avons encore reçu aucun log, aucun client n’ayant été configuré pour cela.
PAPL03

 

Pour aller plus loin

 
PAPL01

Configuration d’un client à monitorer

Comme nous l’avons vu, la page de recherche n’affiche encore aucun message. Nous devons tout d’abord nous assurer que Graylog reçoit bien les messages venant d’un client.
Tout d’abord, on peut vérifier que le port 5140 de l’input Syslog UDP est bien ouvert. Sur le terminal du client, saisir la commande suivante :

# echo "Salut Graylog, tu reçois bien mes messages?!" | nc -w 1 -u graylog.opensharing.priv 5140

Si tout va bien, le message devrait apparaitre dans la liste des messages reçus, dans l’onglet Search du serveur Graylog :

Comme la communication est fonctionnelle, nous allons configurer le service Rsyslog de notre client pour qu’il envoie automatiquement les logs en UDP au serveur Graylog.
Pour cela, il faut éditer le fichier de configuration /etc/rsyslog.conf et ajouter la ligne suivante en fin de fichier :

*.* @graylog.opensharing.priv:5140;RSYSLOG_SyslogProtocol23Format

Ci-dessus pour une connexion UDP (simple @).

*.* @@graylog.opensharing.priv:5140;RSYSLOG_SyslogProtocol23Format

Ci-dessus pour une connexion TCP (double @@), mais il faut pour cela configurer un input Syslog TCP sur le serveur Graylog.
Ces lignes spécifient un format de logs conforme au protocole Syslog et à la RFC 5424.
Pour une ancienne version de Syslog sur le client, il est possible de spécifier un template conforme à la RFC 5424 :

$template GRAYLOGRFC5424,"<%pri%>%protocol-version% %timestamp:::date-rfc3339% %HOSTNAME% %app-name% %procid% %msg%\n"
*.* @192.168.1.70:5140;GRAYLOGRFC5424                    # en connexion UDP
*.* @@192.168.1.70:5140;GRAYLOGRFC5424                   # en connexion TCP

Si nous redémarrons le service SSH sur le client monitoré, nous devrions observer ses logs sur le serveur Graylog :

Ci-dessus, le serveur source (client monitoré) s’appelle snipeit. Nous pouvons constater que le serveur Graylog reçoit bien les messages du service rsyslog exécuté sur le client monitoré.
Au bout de quelques minutes d’utilisation, on peut voir le nombre de messages reçus augmenter :

 

---

 

PAPL02

MongoDB : commandes supplémentaires

Pour afficher les bases de données disponibles :

> show dbs
graylog	0.125GB
local	0.03125GB

Pour se connecter explicitement à la base de données graylog :

> use graylog
switched to db graylog

Pour afficher les collections (tables) de la base de données graylog :

> show collections

ou

> show tables
cluster_config
cluster_events
collectors
content_packs
grok_patterns
index_failures
index_ranges
inputs
nodes
notifications
pipeline_processor_pipelines
pipeline_processor_pipelines_streams
pipeline_processor_rules
roles
sessions
system.indexes
system_messages
users

Pour afficher les documents de la collection input :

> db.inputs.find()
{ "_id" : ObjectId("58287c354e6e5f0753a9998b"), "creator_user_id" : "admin", "configuration" : { "expand_structured_data" : false, "recv_buffer_size" : 262144, "port" : 5140, "override_source" : null, "force_rdns" : false, "allow_override_date" : true, "bind_address" : "0.0.0.0", "store_full_message" : false }, "name" : "Syslog UDP", "created_at" : ISODate("2016-11-13T14:44:05.146Z"), "global" : true, "type" : "org.graylog2.inputs.syslog.udp.SyslogUDPInput", "title" : "Syslog UDP", "content_pack" : null }

Pas très lisible, pour cela appeler la méthode pretty() :

> db.inputs.find().pretty()
{
	"_id" : ObjectId("58287c354e6e5f0753a9998b"),
	"creator_user_id" : "admin",
	"configuration" : {
		"expand_structured_data" : false,
		"recv_buffer_size" : 262144,
		"port" : 5140,
		"override_source" : null,
		"force_rdns" : false,
		"allow_override_date" : true,
		"bind_address" : "0.0.0.0",
		"store_full_message" : false
	},
	"name" : "Syslog UDP",
	"created_at" : ISODate("2016-11-13T14:44:05.146Z"),
	"global" : true,
	"type" : "org.graylog2.inputs.syslog.udp.SyslogUDPInput",
	"title" : "Syslog UDP",
	"content_pack" : null
}

On retrouve bien l’input Syslog UDP précédemment créé.

 

---

 

PAPL03

Elasticsearch : commandes supplémentaires

Pour afficher la liste des catégories :

# curl -X GET 'http://localhost:9200/_cat?pretty=true'

Pour afficher toute la configuration de l’index graylog_0 :

# curl -X GET 'http://localhost:9200/graylog_0?pretty=true'

Equivaut à :

# curl -X GET 'http://localhost:9200/graylog_0/_aliases,_mappings,_settings,_warmers?pretty=true'

Pour afficher seulement les paramètres :

# curl -X GET 'http://localhost:9200/graylog_0/_settings?pretty=true'

Pour supprimer le contenu de l’index graylog_0 :

# curl -X DELETE http://localhost:9200/graylog_0/

 

---

 

Liste des fichiers générés lors de l’installation

 

Graylog

	Chemin absolu
Configuration	/etc/graylog/server/server.conf
Logging configuration	/etc/graylog/server/log4j2.xml
Plugins	/usr/share/graylog-server/plugin/
JVM settings	/etc/default/graylog-server
Message journal files	/var/lib/graylog-server/journal/
Log Files	/var/log/graylog-server/

 

MongoDB

	Chemin absolu
Configuration	/etc/mongod.conf
Data files	/var/lib/mongodb/
Log files	/var/log/mongodb/

Les bases de données MongoDB sont stockées dans le répertoire /var/lib/mongodb/ sous forme de fichiers data :

# file /var/lib/mongodb/*
/var/lib/mongodb/graylog.0:   data
/var/lib/mongodb/graylog.1:   data
/var/lib/mongodb/graylog.2:   data
/var/lib/mongodb/graylog.ns:  data
/var/lib/mongodb/journal:     directory
/var/lib/mongodb/local.0:     data
/var/lib/mongodb/local.ns:    data
/var/lib/mongodb/mongod.lock: ASCII text
/var/lib/mongodb/_tmp:        directory

 

Elasticsearch

	Chemin absolu
Configuration	/etc/elasticsearch/
JVM settings	/etc/default/elasticsearch
Data files	/var/lib/elasticsearch/
Log files	/var/log/elasticsearch/

L’index graylog_0 est stocké dans le répertoire /var/lib/elasticsearch/graylog/nodes/0/indices/graylog_0/0/index/ sous forme de fichiers data :

# file /var/lib/elasticsearch/graylog/nodes/0/indices/graylog_0/0/index/*
/var/lib/elasticsearch/graylog/nodes/0/indices/graylog_0/0/index/_a.fdt:            data
/var/lib/elasticsearch/graylog/nodes/0/indices/graylog_0/0/index/_a.fdx:            data
/var/lib/elasticsearch/graylog/nodes/0/indices/graylog_0/0/index/_a.fnm:            data
/var/lib/elasticsearch/graylog/nodes/0/indices/graylog_0/0/index/_a_Lucene50_0.doc: data
/var/lib/elasticsearch/graylog/nodes/0/indices/graylog_0/0/index/_a_Lucene50_0.pos: data
/var/lib/elasticsearch/graylog/nodes/0/indices/graylog_0/0/index/_a_Lucene50_0.tim: data
/var/lib/elasticsearch/graylog/nodes/0/indices/graylog_0/0/index/_a_Lucene50_0.tip: data
/var/lib/elasticsearch/graylog/nodes/0/indices/graylog_0/0/index/_a_Lucene54_0.dvd: data
/var/lib/elasticsearch/graylog/nodes/0/indices/graylog_0/0/index/_a_Lucene54_0.dvm: data
/var/lib/elasticsearch/graylog/nodes/0/indices/graylog_0/0/index/_a.nvd:            data
/var/lib/elasticsearch/graylog/nodes/0/indices/graylog_0/0/index/_a.nvm:            data
/var/lib/elasticsearch/graylog/nodes/0/indices/graylog_0/0/index/_a.si:             data
[...]

 

---

 

La sauvegarde

 

Graylog

# tar -czvf graylog.tar.gz /etc/graylog/server/server.conf
tar: Suppression de « / » au début des noms des membres
/etc/graylog/server/server.conf

Pour la restauration :
tar -xzvf graylog.tar.gz -C /

 

MongoDB

# mkdir mongobkp/
# mongodump --host localhost --port 27017 --db graylog --out mongobkp/
connected to: localhost:27017
Sun Nov 13 19:13:47.583 DATABASE: graylog	 to 	mongobkp/graylog
Sun Nov 13 19:13:47.583 	graylog.system.indexes to mongobkp/graylog/system.indexes.bson
Sun Nov 13 19:13:47.584 		 29 objects
[...]

Pour la restauration :
mongorestore --host localhost --port 27017 mongobkp/

 

Elasticsearch

Pour sauvegarder une base de données Elasticsearch, nous utiliserons le module Node.js elasticdump.
Avant de pouvoir l’installer, il faut installer le gestionnaire de modules pour Node.js appelé npm :

# apt install npm
# npm install -g elasticdump
npm WARN engine elasticdump@2.4.2: wanted: {"node":">=4.0.0"} (current: {"node":"0.10.29","npm":"1.4.21"})
npm WARN engine request@2.78.0: wanted: {"node":">= 4"} (current: {"node":"0.10.29","npm":"1.4.21"})
npm WARN engine form-data@2.1.2: wanted: {"node":">= 0.12"} (current: {"node":"0.10.29","npm":"1.4.21"})
npm WARN engine hawk@3.1.3: wanted: {"node":">=0.10.32"} (current: {"node":"0.10.29","npm":"1.4.21"})
npm WARN engine cryptiles@2.0.5: wanted: {"node":">=0.10.40"} (current: {"node":"0.10.29","npm":"1.4.21"})
npm WARN engine boom@2.10.1: wanted: {"node":">=0.10.40"} (current: {"node":"0.10.29","npm":"1.4.21"})
npm WARN engine hoek@2.16.3: wanted: {"node":">=0.10.40"} (current: {"node":"0.10.29","npm":"1.4.21"})

Des warnings nous alertent sur le fait que la version de nodejs (0.10.29) est trop ancienne et que elasticdump requiert une version supérieure à la 4.0.0.
Vérification de la version de nodejs et installation de la dernière version stable de node :

# nodejs -v
v0.10.29
# npm install -g n
# n stable

     install : node-v7.0.0
       mkdir : /usr/local/n/versions/node/7.0.0
       fetch : https://nodejs.org/dist/v7.0.0/node-v7.0.0-linux-x86.tar.gz
######################################################################## 100,0%
   installed : v7.0.0
# node -v
v7.0.0

Le module n permet de gérer les versions de Node.js. Ici il nous permet d’installer la dernière version stable.
Maintenant que elasticdump est bien installé, avec la dernière version de node, lançons une sauvegarde de l’index graylog_0 :

# elasticdump --input=http://localhost:9200/graylog_0 --output=backup.json

Pour la restauration :
elasticdump --input=backup.json --output=http://localhost:9200/graylog_0/

 

Annexes

PAPLxx : fait référence à un sujet développé dans la section Pour aller plus loin

 

Références

• Site officiel Graylog
• Graylog – Documentation officielle
• GitHub – Dépôt de la dernière version de Graylog (branche master)
• Le Blog du Hacker – Centralisateur de logs: Quartet Gagnant « Graylog – Nxlog – Elasticsearch – MongoDB »
• Site officiel Elasticsearch – Versions disponibles de Elasticsearch
• Open Knowledge Labs – Querying ElasticSearch – A Tutorial and Guide
• Site officiel Graylog – Les inputs de Graylog
• Site officiel Graylog – Installation de Graylog sur Debian
• Site officiel Graylog – Fichiers générés lors de l’installation
• Tutorialspoint – MongoDB – Quick Guide
• Site officiel MongoDB – mongo Shell Quick Reference
• NPM – Elasticdump – import and export tools for elasticsearch
• GitHub – elasticsearch-tools
• Site officiel Elasticsearch – Snapshot And Restore
• Site officiel MongoDB – Back Up and Restore with MongoDB Tools
• Paquets Debian des dépôts Graylog