L’architecture de Graylog2

Pour utiliser Graylog2, vous devez avoir :

  • un ou plusieurs noeuds graylog2-server : à installer sur des serveurs avec beaucoup de CPU
  • un ou plusieurs noeuds Elasticsearch : à installer sur des serveurs avec beaucoup de RAM et des disques très rapide
  • un noeud MongoDB : très peu sollicité, vous n’avez pas besoin d’un serveur surpuissant
  • un ou plusieurs noeuds graylog2-web-interface : sollicité pour la consultation uniquement, il est pas utile de prévoir trop de ressources

Pour tester rapidement Graylog2, il est tout à fait possible d’installer l’ensemble de ces outils sur le même serveur.

La configuration minimale ressemble à ceci :

Configuration minimale pour utiliser Graylog2

Configuration minimale pour utiliser Graylog2

Rapide à mettre en place, aucun système n’est redondé. C’est donc une configuration à utiliser pour des tests ou des services non critiques.

Pour avoir quelque chose de plus sécurisé, voici comment procéder :

Configuration de production pour Graylog2

Configuration de production pour Graylog2

L’effort de mise en place est un peu plus grand, mais il permet de mieux tenir la charge et de sécuriser les informations. Par exemple, si un noeud Elasticsearch tombe, le service continue de fonctionner.

Enfin, si vous souhaitez un système haute-disponibilité, vous pouvez ajouter en amont du graylog2-server un broker de message comme RabbitMQ ou graylog2-radio. Ainsi, vous pouvez éteindre complètement le cluster Elasticsearch sans perdre de messages.

Configuration de production haute disponibilité pour Graylog2

Configuration de production haute disponibilité pour Graylog2

Source des illustrations : http://support.torch.sh/help/kb/general/graylog2-architecture-high-level-overview

4 thoughts on “L’architecture de Graylog2

  1. Bonjour,

    Quel est le nombre minimum de node graylog2 server pour monter un cluster sécurisé (2 ou 3 sur des serveurs physique différent) ?
    Même question pour le composant Elasticsearch ?

    Merci d’avance de votre retour.

    Lino

    • Bonjour Lino,

      Je dirais que cela va dépendre des données que vous stockez et de leur criticité. Si vous ne devez perdre aucune information, il faudra 3 serveurs Graylog minimum et idem pour Elasticsearch. Si vous souhaitez « juste » assurer une collecte des données sans risque de coupure important, 2 serveurs de chaque suffiront.

      • Bonjour Seb,

        Merci beaucoup pour ton retour.
        Ta réponse est très claire.
        Dans une architecture sécurisé avec 2 nodes graylog2 server et 2 nodes elasticsearch à quel endroit est-il le plus pertinent d’héberger la base mongoDB ? Sur un des serveurs graylog2-serveur ou les deux (master / slave) ?

  2. Re,

    La base mongoDB permet de stocker la configuration effectuée via l’ihm : les comptes utilisateurs, les streams, …
    Tu peux en effet monter un master/slave et héberger cette base sur les machines qui hébergent les nodes graylog-serveur sans problème.
    Une autre possibilité si tu connais bien mongodb est d’avoir une seule base et de faire des backups régulier.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *