Graylog est une plateforme SIEM (Security Information and Event Management) et de log management centralise distribuee selon un modele open core par la societe Graylog, Inc. (Houston, Texas, anciennement Hambourg). Concue pour ingerer, indexer, correler et analyser plusieurs teraoctets de logs par jour avec une latence inferieure a la seconde, la plateforme combine un coeur open source Graylog Open sous licence SSPLv1 et des editions commerciales Graylog Operations, Graylog Security et Graylog Enterprise. Demarree en 2010 a Hambourg par Lennart Koopmann sous le nom Graylog2, la solution atteint la version 6.2 en mai 2026 et compte plus de 50 000 deploiements declares dont environ 1 800 clients commerciaux. Graylog repose sur une architecture trois tiers : un cluster Graylog Server (JVM Java 17, traitement des messages), une base MongoDB (configuration, utilisateurs, dashboards) et un backend de recherche Elasticsearch ou OpenSearch (stockage des messages et index inverse). Cette dissociation entre stockage, configuration et processing donne a Graylog une scalabilite horizontale lineaire et un avantage de cout face a Splunk Enterprise ou IBM QRadar.

A retenir

  • Graylog est une plateforme SIEM et log management open core SSPLv1 avec un coeur libre Graylog Open et des editions commerciales Operations, Security et Enterprise.
  • Architecture trois tiers : Graylog Server (JVM), MongoDB pour la configuration, Elasticsearch ou OpenSearch pour le stockage et l'indexation des logs.
  • Version 6.2 publiee en mai 2026, avec support natif d'OpenSearch 2.18, GELF 1.1, Sigma rules et detection UEBA dans l'edition Security.
  • Conformite : couverture native PCI DSS 4.0, HIPAA, ISO 27001, SOC 2, RGPD via les content packs et les rapports Enterprise programmables.
  • Cout : Graylog Open gratuit en self-hosted ; Graylog Security facture environ 1,50 a 3 USD/GB/jour selon le volume avec des plafonds annuels negocies.

Definition technique de Graylog

Graylog est defini officiellement comme une plateforme unifiee de log management et de threat detection distribuee selon un modele open core. Le coeur du produit, Graylog Open, est publie sous licence Server Side Public License v1 (SSPLv1) depuis la version 5.0 (octobre 2022), apres une longue periode sous GPLv3. Le code source est heberge sur github.com/Graylog2/graylog2-server et la documentation officielle sur docs.graylog.org. Techniquement, Graylog couvre quatre piliers : ingestion (Inputs Syslog, GELF, Beats, Kafka, AWS), processing (Pipelines, Rules, Lookup Tables, Extractors), storage and search (Streams, indices Elasticsearch ou OpenSearch, retention par age et taille) et analytics (Searches, Dashboards, Alerts, Reports). La distinction avec un simple agregateur ELK Stack reside dans la couche metier ajoutee : RBAC granulaire, multi-tenant (Operations), pipelines DSL declaratifs, Sidecar de gestion centralisee des collecteurs et un module Security qui transforme la stack en SIEM complet avec UEBA, mapping MITRE ATT&CK et anomaly detection.

Histoire et editeur Graylog Inc.

Le projet Graylog naît en 2010 a Hambourg sous le nom Graylog2, developpe par Lennart Koopmann, ingenieur Java passione de Logstash. La premiere version publique, Graylog2 0.9, sort en novembre 2010 et propose deja un format binaire compresse GELF (Graylog Extended Log Format) qui resout les limites du Syslog RFC 3164 (longueur 1024 octets, pas de structure). En 2014, Koopmann co-fonde TORCH GmbH a Hambourg pour porter le projet en commercial, renommee Graylog Inc. en 2015 apres une serie A de 2,5 millions USD chez Mercury Capital. Le siege social est transfere a Houston, Texas en 2018 lors de la serie B de 11 millions USD menee par Piva. La marque Graylog2 est abandonnee en 2016 au profit du nom court Graylog. La version 3.0 (mars 2019) introduit Sidecar 1.0 et les Content Packs ; la version 4.0 (octobre 2020) ajoute le moteur Pipelines reecrit en Java ; la version 5.0 (octobre 2022) bascule sur SSPLv1 et integre Graylog Security ; la version 6.0 (avril 2024) supporte officiellement OpenSearch 2.x et introduit le module Asset Risk Score. La version 6.2 (mai 2026) ajoute la Sigma Rule Engine native, l'UEBA on prem et un connecteur Microsoft Graph.

Architecture technique trois tiers

L'architecture Graylog dissocie strictement trois plans : configuration (MongoDB), processing et API (Graylog Server JVM) et storage et search (Elasticsearch ou OpenSearch). Cette separation permet de scaler chaque tier independamment selon la charge.

+----------------------+        +----------------------+
|   Sources de logs    |  GELF  |   Graylog Server     |
|   (apps, network,    |─────►|   Inputs + Pipelines |
|    OS, cloud)        |  Syslog|   JVM 17, port 9000  |
+----------------------+        +-----------+----------+
                                            |
                                            | Bulk API
                                            v
                                +----------------------+
                                |  Elasticsearch /     |
                                |  OpenSearch cluster  |
                                |  port 9200           |
                                +----------------------+
                                            ^
                                            |
+----------------------+         +----------+----------+
|   MongoDB cluster    |◄─────|   Graylog Web UI     |
|   port 27017         |  config |   port 9000          |
+----------------------+         +----------------------+

Le Graylog Server est un binaire Java distribue sous forme de tarball, paquet DEB ou RPM, image Docker officielle graylog/graylog:6.2. Il execute trois roles assignables : Master (un seul par cluster, gere les jobs de maintenance), Processing (parsing, pipelines, indexation) et Web (UI et API REST). En production typique, on deploie 3 a 6 noeuds combinant les roles Processing et Web derriere un load balancer.

MongoDB stocke uniquement la configuration : streams, dashboards, utilisateurs, roles, alertes, content packs, lookup tables. Le volume reste modeste (quelques GB), un replicaSet 3 noeuds suffit. Versions supportees en 6.2 : MongoDB 5.0, 6.0 et 7.0.

Elasticsearch ou OpenSearch stocke les messages indexes. Graylog 6.2 supporte officiellement Elasticsearch 7.10.x (legacy), OpenSearch 1.3.x et OpenSearch 2.x jusqu'a la version 2.18. Le sharding par defaut applique 4 shards primaires et 0 replica par index, ajustable via les Index Sets. La rotation s'effectue par age (daily), taille (50 GB par defaut) ou nombre de messages.

Editions Open, Operations, Enterprise et Security

Graylog applique un modele de licensing open core a quatre editions distinctes en 2026, chacune ciblant un segment fonctionnel et tarifaire.

Graylog Open

Edition gratuite open source sous SSPLv1. Inclut Inputs, Streams, Pipelines, Searches, Dashboards basiques, Sidecar, alerting simple, content packs communautaires, API REST complete. Pas de support commercial, pas de RBAC granulaire, pas de reporting programme. Cible typique : laboratoires, PME tech, homelabs.

Graylog Operations

Edition commerciale dediee a la centralisation operationnelle des logs. Ajoute archivage froid (S3, Azure Blob), audit log, RBAC granulaire, parameters, correlation cross-stream, support 24x7. Pricing typique : a partir de 1 800 USD/mois pour 5 GB/jour, modele annuel volumetric.

Graylog Enterprise

Surcouche historique de Graylog avant le decoupage 2022. Maintenue pour les contrats anterieurs avec reporting Enterprise, multi-tenant, integration Active Directory federee. Progressivement consolidee dans Operations + Security depuis 2024.

Graylog Security

Edition SIEM complet incluant tout Operations + threat intelligence integree, mapping MITRE ATT&CK, Sigma rule engine, UEBA (User and Entity Behavior Analytics), anomaly detection ML, asset risk score, investigations workflow, threat hunting interface. Pricing 2026 : environ 1,50 a 3 USD/GB/jour selon volume avec engagement annuel.

Inputs : sources de logs supportees

Un Input est un endpoint reseau ou une integration cloud qui recoit des messages. Graylog 6.2 propose plus de 30 types d'Inputs natifs configurables via l'UI ou l'API REST.

  • Syslog UDP/TCP/TLS sur ports 514 ou 1514, conforme RFC 3164 et RFC 5424 (structured data).
  • GELF UDP/TCP/HTTP sur port 12201, format JSON binaire compresse zlib avec champs custom illimites.
  • Beats (Filebeat, Winlogbeat, Metricbeat, Auditbeat) sur port 5044, protocole lumberjack.
  • NetFlow v5/v9, sFlow et IPFIX pour la telemetrie reseau, port 2055 par defaut.
  • Apache Kafka consumer avec gestion des offsets et SASL/SCRAM-SHA-512.
  • AWS CloudTrail, AWS Kinesis, AWS S3 via integration native AWS Identity.
  • Microsoft Graph (Azure AD, Office 365, Defender for Endpoint) en 6.2.
  • Google Cloud Pub/Sub, GCP Audit Logs via service account JSON.
  • Raw TCP/UDP, JSON Path HTTP, CEF pour les sources non standardisees.

Chaque Input se voit associer un Extractor (regex, JSON path, key-value, copy field, GeoIP) qui normalise les champs avant routage vers les Streams.

Pipelines et Rules : moteur de processing DSL

Le module Processing Pipelines, introduit en Graylog 2.0 (2016) et reecrit en 4.0, remplace les anciens Extractors statiques par un DSL declaratif proche de SQL. Un pipeline est une sequence ordonnee de stages, chaque stage contenant une ou plusieurs rules evaluees en parallele.

rule "parse ssh failed login"
when
  has_field("application_name") AND
  to_string($message.application_name) == "sshd" AND
  contains(to_string($message.message), "Failed password")
then
  let user = regex("user (\\S+)", to_string($message.message)).0;
  let ip = regex("from (\\S+)", to_string($message.message)).0;
  set_field("alert_user", user);
  set_field("alert_src_ip", ip);
  set_field("event_type", "auth_failure");
end

Les rules Graylog supportent plus de 120 fonctions natives : regex(), grok(), parse_json(), parse_xml(), lookup(), cidr_match(), to_ip(), geo_lookup(), set_field(), drop_message(), route_to_stream(). Les Lookup Tables (CSV, Redis, HTTP JSON, MongoDB, DSV) permettent l'enrichissement dynamique avec cache LRU.

Streams et Alerts : routage et detection

Un Stream est une categorie logique de messages definie par un ensemble de regles booleennes (matching all rules, matching any rule, not matching). Les messages routes vers un Stream sont indexes dans un Index Set dedie avec sa propre politique de retention. Exemples typiques : stream_authentication, stream_firewall, stream_pci_in_scope, stream_dev_logs.

Les Alerts (refondues en Event Definitions depuis 4.0) declenchent une notification ou une action quand un Stream remplit une condition : Aggregation (count, avg, min, max sur fenetre glissante), Filter and Aggregation (avec query Lucene prealable), Correlation (sequence d'evenements lies dans Security). Notifications supportees : email, Slack, Microsoft Teams, PagerDuty, OpsGenie, HTTP webhook, ServiceNow, Jira, script Sidecar.

Searches : Lucene et Graylog Query Language

Le moteur de recherche Graylog interroge directement Elasticsearch ou OpenSearch via deux langages au choix. Le Lucene Query Language historique reste compatible : application_name:sshd AND src_ip:192.168.1.0/24 AND NOT message:"Accepted". Le Graylog Query Language (GQL), introduit en version 5.2, propose une syntaxe plus expressive avec auto-completion contextuelle, fonctions agregees inline et reference de champs nestes : http.status_code >= 500 | stats count() by host.name | sort -count desc.

Les Saved Searches sont rangees dans des dossiers RBAC, exportables en JSON et integrables dans des Dashboards ou Reports. La pagination supporte le scroll API pour les exports volumineux jusqu'a 1 million de messages CSV.

Dashboards et Reports Enterprise

Les Dashboards Graylog combinent 14 types de widgets : data table, message count, field histogram, pie chart, line chart, area chart, world map, heatmap, single number, top values, message preview, scatter, raw query, markdown text. Les widgets supportent le drilldown contextuel et l'export PNG ou PDF.

Les Reports (Operations et Security) generent automatiquement des PDF programmes (quotidien, hebdomadaire, mensuel) envoyes par email aux destinataires definis. Cas d'usage : rapport PCI DSS section 10, rapport audit ISO 27001 A.12.4, rapport SOC tier 1 hebdomadaire. Le moteur PDF s'appuie sur Headless Chrome embarque dans le binaire Graylog Server.

Content Packs et marketplace

Un Content Pack est un fichier JSON exportable regroupant Inputs, Streams, Pipelines, Lookup Tables, Dashboards, Event Definitions et Sidecar Configurations relatifs a une integration. La Graylog Marketplace heberge plus de 250 content packs communautaires et officiels : Cisco ASA, Palo Alto PAN-OS, Fortinet FortiGate, pfSense, Apache HTTPD, Nginx, MySQL slow query, PostgreSQL, AWS CloudTrail, Azure AD, Okta, Cloudflare, Suricata EVE JSON, Wazuh alerts. L'import s'effectue en un clic via l'UI ou l'API POST /api/system/content_packs.

Sidecar : gestion centralisee des collecteurs

Graylog Sidecar est un agent leger Go (8 MB binaire, 25 MB RSS) installe sur les endpoints. Il agit comme un controleur qui pilote des collecteurs tiers : Filebeat, Winlogbeat, NXLog, Auditbeat, Fluent Bit. Sidecar interroge periodiquement le Graylog Server pour recuperer la configuration assignee a son tag (par exemple linux-webserver, windows-domain-controller) et applique automatiquement les changements de config sans intervention manuelle. La version Sidecar 1.7 (2026) ajoute le support de OpenTelemetry Collector et la signature de configuration via cle Ed25519.

Graylog Security 2026 : UEBA, MITRE et anomaly detection

L'edition Graylog Security 6.2 transforme la plateforme en SIEM moderne avec quatre capacites distinctives.

L'UEBA profile les comportements normaux des utilisateurs et des entites (machines, comptes service, applications) sur des fenetres glissantes 7, 14, 30 jours, puis alerte sur les deviations statistiques (login impossible travel, escalade privilege, exfiltration data anormale). Le moteur s'appuie sur des modeles de regression et clustering executes en local sur la JVM, sans envoi de donnees au cloud.

Le mapping MITRE ATT&CK v15 associe chaque event definition a une ou plusieurs techniques (T1078 Valid Accounts, T1059 Command and Scripting Interpreter, T1486 Data Encrypted for Impact). Le tableau de bord MITRE Heatmap visualise la couverture detection par tactique.

L'anomaly detection applique des algorithmes de detection d'outliers (IQR, Z-score, Isolation Forest) sur les metriques agregees (volume logs, taux d'erreur, latence reseau).

L'Asset Risk Score calcule un score de risque dynamique 0-100 par actif en combinant CVE detectees, criticite metier, exposition reseau et alertes recentes. Cette priorisation alimente les workflows d'investigation et la remediation.

La Sigma Rule Engine native (nouveaute 6.2) compile les regles Sigma YAML communautaires (depot SigmaHQ, plus de 3 000 regles) en pipeline rules Graylog executables sans transformation manuelle. Le matching s'effectue en streaming sur les messages indexes, avec une latence detection moyenne de 200 ms entre arrivee du message et generation de l'event. La couverture initiale en 6.2 inclut les categories process_creation, network_connection, file_event, registry_event, image_load et dns_query.

API REST et integrations

Graylog expose une API REST complete documentee via Swagger sur /api/api-browser/, plus de 450 endpoints couvrant l'ensemble des fonctionnalites UI. Authentification : token API, session cookie ou OAuth 2.0 (Operations). Les SDK officiels existent en Python (graylog-py), Go (go-graylog) et Java. Integrations natives : Slack, Microsoft Teams, PagerDuty, ServiceNow, Jira, Splunk forwarder, Datadog, Elastic Common Schema (ECS), Sigma rules, OpenTelemetry.

Quelques endpoints souvent utilises en automation : POST /api/system/inputs pour creer un Input, GET /api/streams pour lister les streams, POST /api/events/search pour interroger les events, POST /api/views/search pour declencher une search asynchrone, GET /api/system/cluster/nodes pour la sante cluster. Les requetes UI Web utilisent en plus le header X-Requested-By: graylog-web pour la protection CSRF. Les tokens API sont generes par utilisateur dans la section System > Users > Tokens, avec expiration optionnelle 30, 90 ou 365 jours selon la politique.

Conformite reglementaire

Graylog couvre nativement les exigences PCI DSS 4.0 sections 10.1 a 10.7 (collecte logs, retention 1 an, integrite, revue quotidienne), HIPAA Security Rule 164.312(b) (audit controls), ISO 27001:2022 A.8.15 (event logging), SOC 2 Type II CC7.2 (system monitoring), RGPD article 32 (security of processing) et NIS2 annexe IV. Les Reports Enterprise generent les rapports d'audit pre-formattes pour chaque cadre. La fonction archivage immuable (Operations) ecrit les logs vers S3 Object Lock ou Azure Blob Immutability, garantissant la non-modification requise par PCI DSS 10.5 et la regle SEC 17a-4.

Pricing et modele commercial 2026

Graylog applique un pricing volumetric base sur le GB ingere par jour, calcule sur la moyenne 30 jours glissants. Les tarifs publics 2026 indicatifs :

  • Graylog Open : gratuit illimite en self-hosted, support communautaire uniquement.
  • Graylog Operations : a partir de 1 800 USD/mois pour 5 GB/jour, environ 0,90 USD/GB/jour au-dela.
  • Graylog Security : a partir de 3 500 USD/mois pour 5 GB/jour, environ 1,50 a 3 USD/GB/jour selon le volume avec degressivite a 100 GB/jour et 500 GB/jour.
  • Graylog Cloud (SaaS hebergé AWS) : surcout d'environ 30 % vs self-hosted, retention 30 jours par defaut.

L'avantage competitif principal reste le rapport prix/volume face a Splunk Enterprise (4 a 8 USD/GB/jour) ou IBM QRadar (modele EPS plus cher au-dela de 5 000 EPS).

Comparatif vs Wazuh, ELK Stack, Splunk et Microsoft Sentinel

Graylog se positionne comme alternative open core a quatre concurrents majeurs en 2026, chacun avec un modele economique et un perimetre fonctionnel distincts.

Face a Wazuh, Graylog excelle sur l'ingestion et la transformation de logs heterogenes (Syslog, GELF, Beats, Kafka, cloud) avec ses Pipelines DSL, mais Wazuh integre nativement les capacites endpoint XDR (FIM, SCA, vuln detector, rootcheck) que Graylog ne possede pas. La complementarite est evidente : Wazuh agent envoie ses alertes en JSON vers Graylog Input GELF.

Face a la ELK Stack (Elasticsearch, Logstash, Kibana), Graylog mutualise dans un produit unique ce que ELK eparpille en trois composants. La gestion RBAC, le Sidecar, les Pipelines DSL et le Stream routing sont natifs, la ou ELK requiert Logstash + Beats + scripts Painless + RBAC payant Elastic Security. Inconvenient : Graylog reste limite a l'index Elasticsearch ou OpenSearch, sans alternative comparable a Loki ou ClickHouse.

Face a Splunk, Graylog conserve un avantage de cout decisif (rapport 1 a 3 a 1 a 8 selon volume) au prix d'un perimetre observabilite plus restreint (pas d'APM, pas de RUM, pas de ITSI). Splunk SPL reste plus expressif que GQL pour les analyses avancees mais la courbe d'apprentissage est plus raide.

Face a Microsoft Sentinel, Graylog convient mieux aux architectures hybrides ou multi-cloud non Azure-centric. Sentinel domine sur l'integration native Defender XDR, Entra ID et le SOAR Logic Apps mais facture l'ingestion entre 2 et 4 USD/GB et necessite Azure. Graylog se deploie on-prem, sur AWS, GCP ou Azure indifféremment.

Use cases : PME, MSSP et secteurs regules

Trois profils types adoptent Graylog en 2026. Les PME (50 a 500 employes) deploient Graylog Open ou Operations comme log management central pour les applications metier, firewalls et serveurs, avec un budget 5 000 a 30 000 EUR/an. Les MSSP (Managed Security Service Providers) utilisent Graylog Security multi-tenant pour superviser plusieurs clients dans une instance partagee, exploitant les Streams et le RBAC pour isoler les donnees. Les organisations en secteur regule (banque, sante, energie) deploient Graylog Security pour les exigences PCI DSS, HIPAA, NIS2 avec archivage immuable et rapports d'audit programmes. Pour les SOC voulant combiner Graylog avec un IDS reseau et un agent endpoint, voir le guide SIEM hybride Wazuh + Graylog + Suricata et la page Suricata IDS/IPS.

Deploiement Docker et Kubernetes

Graylog publie des images officielles graylog/graylog:6.2, graylog/graylog-enterprise:6.2 et graylog/graylog-data-node:6.2. Le quickstart Docker Compose minimal embarque MongoDB 6.0, OpenSearch 2.15 et Graylog Server :

services:
  mongodb:
    image: mongo:6.0
    volumes: [mongo_data:/data/db]

  opensearch:
    image: opensearchproject/opensearch:2.15.0
    environment:
      - discovery.type=single-node
      - OPENSEARCH_JAVA_OPTS=-Xms2g -Xmx2g
      - DISABLE_SECURITY_PLUGIN=true
    ulimits:
      memlock: { soft: -1, hard: -1 }

  graylog:
    image: graylog/graylog:6.2
    environment:
      - GRAYLOG_PASSWORD_SECRET=<32chars>
      - GRAYLOG_ROOT_PASSWORD_SHA2=<sha256>
      - GRAYLOG_HTTP_EXTERNAL_URI=http://localhost:9000/
      - GRAYLOG_ELASTICSEARCH_HOSTS=http://opensearch:9200
      - GRAYLOG_MONGODB_URI=mongodb://mongodb/graylog
    ports: ["9000:9000", "12201:12201/udp", "1514:1514/udp"]

Pour Kubernetes, le Graylog Operator (Helm chart graylog/graylog-operator) gere les CRD Graylog, GraylogDataNode et GraylogConfig. Recommandation production : 3 noeuds Graylog Server (4 vCPU, 8 GB heap), cluster OpenSearch 3 noeuds master + 6 noeuds data (8 vCPU, 32 GB RAM, NVMe) et MongoDB replicaSet 3 noeuds.

FAQ Graylog

Graylog est-il vraiment open source ?

Le coeur Graylog Open est distribue sous SSPLv1 depuis 2022, licence consideree par l'OSI comme non conforme a la definition open source car elle restreint les usages commerciaux SaaS. Le code reste publiquement modifiable et redistribuable mais l'usage en SaaS managé impose la publication de toute la stack hote. Les editions Operations et Security sont proprietaires.

Quelle difference entre Graylog et la stack ELK ?

Graylog est un produit unifie embarquant ingestion, processing, alerting, dashboards et RBAC dans un seul binaire JVM, alors que ELK requiert Elasticsearch + Logstash + Kibana plus Beats et scripts Painless. Graylog reutilise Elasticsearch ou OpenSearch comme backend mais ajoute la couche metier au-dessus. Pour un SOC, Graylog Security va plus loin que Kibana avec UEBA, MITRE et threat hunting natif.

Peut-on remplacer Splunk par Graylog Security ?

Pour le perimetre SIEM strict (collecte, correlation, alerting, conformite), oui : Graylog Security 6.2 couvre les fonctions essentielles avec un cout 60 a 80 % inferieur. Pour l'observabilite etendue (APM, ITSI, infrastructure monitoring), Splunk reste plus large. La migration moyenne d'un SIEM Splunk vers Graylog Security prend 3 a 6 mois pour un volume 50 a 200 GB/jour.

Quels formats de logs Graylog ingere-t-il ?

Syslog RFC 3164 et 5424, GELF JSON et binaire, Beats lumberjack, NetFlow v5/v9 et IPFIX, sFlow, raw TCP/UDP, JSON Path HTTP, Kafka, AWS CloudTrail, Azure Event Hub, Microsoft Graph, Google Pub/Sub, CEF, LEEF. Les formats non standardises se traitent via Pipelines avec parse_json(), grok() ou regex().

Graylog supporte-t-il Elasticsearch 8 ?

Non, Graylog 6.2 ne supporte officiellement que Elasticsearch 7.10.x (EOL en legacy mode) et OpenSearch 1.3.x ou 2.x. La compatibilite Elasticsearch 8.x n'est pas prevue car Elastic a passe son backend sous licence ELv2 incompatible avec SSPL. Migration recommandee vers OpenSearch 2.18 ou Graylog Data Node integre.

Comment Graylog gere-t-il la haute disponibilite ?

Cluster Graylog Server multi-noeuds derriere load balancer L4 ou L7, MongoDB replicaSet 3 noeuds, OpenSearch cluster avec 3 master nodes minimum et replication x1 sur les indices. Les Inputs UDP supportent l'anycast via VIP, les Inputs TCP supportent le round-robin DNS. RPO inferieur a 1 seconde, RTO inferieur a 30 secondes en bascule automatique.

Quelle retention de logs typique pour un SIEM Graylog ?

Compliance PCI DSS 10.7 impose 1 an minimum dont 3 mois en hot. Politique standard : 30 jours hot (NVMe), 90 jours warm (SSD), 9 mois cold (S3 ou archivage compresse Operations). Volume cible : 100 GB/jour en hot represente environ 3 TB stockage, 30 TB sur 1 an avec compression typique 5:1 sur OpenSearch.