Pour utiliser Graylog2, vous devez avoir :
- un ou plusieurs noeuds graylog2-server : à installer sur des serveurs avec beaucoup de CPU
- un ou plusieurs noeuds Elasticsearch : à installer sur des serveurs avec beaucoup de RAM et des disques très rapide
- un noeud MongoDB : très peu sollicité, vous n’avez pas besoin d’un serveur surpuissant
- un ou plusieurs noeuds graylog2-web-interface : sollicité pour la consultation uniquement, il est pas utile de prévoir trop de ressources
Pour tester rapidement Graylog2, il est tout à fait possible d’installer l’ensemble de ces outils sur le même serveur.
La configuration minimale ressemble à ceci :
Rapide à mettre en place, aucun système n’est redondé. C’est donc une configuration à utiliser pour des tests ou des services non critiques.
Pour avoir quelque chose de plus sécurisé, voici comment procéder :
L’effort de mise en place est un peu plus grand, mais il permet de mieux tenir la charge et de sécuriser les informations. Par exemple, si un noeud Elasticsearch tombe, le service continue de fonctionner.
Enfin, si vous souhaitez un système haute-disponibilité, vous pouvez ajouter en amont du graylog2-server un broker de message comme RabbitMQ ou graylog2-radio. Ainsi, vous pouvez éteindre complètement le cluster Elasticsearch sans perdre de messages.
Source des illustrations : http://support.torch.sh/help/kb/general/graylog2-architecture-high-level-overview
Bonjour,
Quel est le nombre minimum de node graylog2 server pour monter un cluster sécurisé (2 ou 3 sur des serveurs physique différent) ?
Même question pour le composant Elasticsearch ?
Merci d’avance de votre retour.
Lino
Bonjour Lino,
Je dirais que cela va dépendre des données que vous stockez et de leur criticité. Si vous ne devez perdre aucune information, il faudra 3 serveurs Graylog minimum et idem pour Elasticsearch. Si vous souhaitez « juste » assurer une collecte des données sans risque de coupure important, 2 serveurs de chaque suffiront.
Bonjour Seb,
Merci beaucoup pour ton retour.
Ta réponse est très claire.
Dans une architecture sécurisé avec 2 nodes graylog2 server et 2 nodes elasticsearch à quel endroit est-il le plus pertinent d’héberger la base mongoDB ? Sur un des serveurs graylog2-serveur ou les deux (master / slave) ?
Re,
La base mongoDB permet de stocker la configuration effectuée via l’ihm : les comptes utilisateurs, les streams, …
Tu peux en effet monter un master/slave et héberger cette base sur les machines qui hébergent les nodes graylog-serveur sans problème.
Une autre possibilité si tu connais bien mongodb est d’avoir une seule base et de faire des backups régulier.