Syslog centralisé for le network : architecture and déploiement
·2 min read·246 words
Architecture syslog centralisée for >100 équipements : collecteur rsyslog/syslog-ng + stockage (Elasticsearch, Graylog), retention 1 an minimum (NIS2/PCI-DSS). Intégration SIEM. Guide déploiement syslog entreprise 2026.
Protocole syslog
- RFC 3164 / RFC 5424
- Transport : UDP 514 (non fiable) or TCP 514 (fiable) or TLS 6514 (chiffré)
- Facilités : 0-23 (kern, user, auth, daemon, local0-7, etc.)
- Severity : emerg, alert, crit, err, warn, notice, info, debug
Collecteurs
- rsyslog : Linux standard, haute performance
- syslog-ng : plus flexible configuration
- Graylog : GUI + indexation
- Elastic Stack : ELK complet
- Splunk : commercial leader (expensive)
- Microsoft Sentinel : SIEM SaaS
Configuration Cisco
- logging host 10.0.0.100
- logging trap informational
- logging facility local0
- logging source-interface Loopback0
- service timestamps log datetime msec localtime
Configuration Juniper
- set system syslog host 10.0.0.100 any info
- set system syslog host 10.0.0.100 source-address 10.1.1.1
Configuration FortiGate
- config log syslogd setting
- set status enable
- set server 10.0.0.100
- set port 514
- set facility local7
- end
Stockage and rétention
- Volume : 1-10 GB/jour par 100 devices
- Rétention NIS2 / PCI-DSS : 1 an minimum
- Hot storage : récents (Elasticsearch)
- Cold storage : >90j (S3, Glacier)
- Index rotation journalière
Parsing and enrichissement
- Logstash : parsing + filtering
- Grok patterns : regex named
- GeoIP : enrichissement géographique
- Threat intelligence : tag IPs suspectes
Alerting
- Règles SIEM : Elastic Rules, Splunk Searches
- Patterns : multiple failed logins, auth anomalies
- Integration : PagerDuty, Slack, email
Commander chez OPTINOC
Déploiement syslog centralisé : rsyslog + Elasticsearch + Kibana + alerting. Conformité NIS2. Devis sous 48h.