Gestion et analyse des logs

Message par **gizmo78** » mer. 22 avr. 2015 20:49

Yop,

Un petit sujet sur la gestion des logs.

Je vais devoir mettre en place un système pour gérer et analyser des logs pour en créer des alertes.

De ce que j'ai vu:
- ELK: Elasticsearch, Logstatsh, Kibana
- graylog2

Je pense essayer d'installer ce dernier car moins de composants.

Vous en utilisez d'autres? des infos?

Merci

Message par **c0bw3b** » mer. 22 avr. 2015 20:57

J'en utilise pas encore, mais j'avais un peu regardé ce que je pouvais utiliser pour centraliser des logs d'un FreeNAS, d'un pfSense, d'un onduleur/NUTS voire d'un Snort/Suricata et d'une station Windows.

Logstash + ElasticSearch est très utilisé donc documentation et exemples de config plein le net.

J'étais aussi tombé sur FluentD qui semblait assez sympa :
http://www.fluentd.org/

Graylog2 >> joli site web déjà ^^ si tu test je suis curieux d'avoir un avis

Message par **gizmo78** » mer. 22 avr. 2015 21:24

ce qui me gène dans les deux cas: java :/

après à voir, si graylog s'installe bien et fait ce que je veux go!

ELK, j'ai testé mais pas trouvé encore de tuto qui me plaise.

Tuto pour graylog:

http://m4nch0t.fr/2013/03/10/installati ... g2/?lang=0
http://romain.therrat.fr/graylog2-insta ... ur-debian/

Message par **c0bw3b** » mer. 22 avr. 2015 21:27

ce qui me gène dans les deux cas: java :/

graylog2 et fluentd c'est du Ruby/Rails et du C nan ?

Message par **gizmo78** » mer. 22 avr. 2015 21:30

graylog utilise aussi elasticsearch de ce que j'ai vu, donc java aussi

mais graylog c'est aussi du ruby

Message par **gizmo78** » mer. 22 avr. 2015 21:33

Un tuto qui me plait bien pour ELK:

https://www.digitalocean.com/community/ ... untu-14-04

Message par **Ryu_wm** » jeu. 23 avr. 2015 17:25

Tiens c'est marrant ce sujet, je suis en train d'écrire un truc qui analyse mes logs apache pour me générer un fichier de config xml pour pfsense (bloquer les script-kiddies).

Message par **c0bw3b** » jeu. 23 avr. 2015 17:35

Tiens c'est marrant ce sujet, je suis en train d'écrire un truc qui analyse mes logs apache pour me générer un fichier de config xml pour pfsense (bloquer les script-kiddies).

Tu pourrais bloquer le bruit de fond gênant avec un IPS Snort ou Suricata en plugins sur ton pfSense. L'avantage c'est que tu aura accès à des jeu de règles prédéfinis.
Après ça peut être intéressant de se faire son truc maison aussi. Pour la science.

Message par **gizmo78** » ven. 24 avr. 2015 14:28

ELK en place, basiquement pour l'instant avec un seul hôte ajouté.

pas mal ca ce défend bien, assez réactif. A voir avec une montée en charge de ce que ca demande en ressources

Message par **Ryu_wm** » ven. 24 avr. 2015 18:10

Tu pourrais bloquer le bruit de fond gênant avec un IPS Snort ou Suricata en plugins sur ton pfSense. L'avantage c'est que tu aura accès à des jeu de règles prédéfinis.

Je suis sur un pfsense 1.2.3, les plugins n'existent plus

(pouquoi un si vieux pfsense ? ben parce que la machine qui le gère est de l'ordre du µcpu avec µram ^^)

MAIS je te remercie, je vais tester une des dernières versions de Pfsense en VM pour voir ce que donnent ces plugins et voir si je peux pas les intégrer à la main sur mon opérationnel

Après ça peut être intéressant de se faire son truc maison aussi. Pour la science.

Voilà, c'est aussi pour le fun

Message par **c0bw3b** » ven. 24 avr. 2015 18:54

Du coup gizmo tu n'as pas testé graylog plus que ça?

Ton ELK tourne sur quel matériel ?

Message par **gizmo78** » ven. 24 avr. 2015 19:03

nop pas testé du tout ^^ la je vais tester ELK, si ca me convient je vais pas plus loin, sinon je verrais ce que donne Graylog2.

ca tourne dans une vm debian 7 64 avec 2vcore et 2Go sur une xeon 1230.

Message par **kalistyan** » ven. 24 avr. 2015 19:05

Moyen d'avoir un screen de ELK ?

Message par **gizmo78** » ven. 24 avr. 2015 19:07

mp

pareil cob si tu veux voir à quoi ca ressemble

Message par **SRay** » mar. 28 avr. 2015 09:39

Bonjour,

Je m'étais penché sur cette problématique pour le boulot, mais pas eu le temps d'aller voir plus loin.
En tout cas, je ne désirais pas mettre du JAVA, car nous ne sommes pas amis tous les deux

J'avais trouvé en plus :
- http://fr.splunk.com/view/splunk/SP-CAAAG57
- http://www.logzilla.net/solutions/software (ex https://code.google.com/p/php-syslog-ng/)
De la doc Cisco
- http://www.cisco.com/c/en/us/products/c ... 57812.html
Conversion du format Eventlog Windows à syslog
- https://code.google.com/p/eventlog-to-syslog/

Bref, pas mal de solution et manque de temps pour me pencher sur la bonne approche.
En tout cas; je vais suivre ce sujet

Message par **gizmo78** » mar. 28 avr. 2015 09:45

bas écoute la c'est en place, avec une seule vm qui remonte dessus.

je vais en ajouter d'autre cette semaine (6 normalement) et je vais commencer à faire des filtres etc

je dirais ce que ca donne niveau ressources et accessibilité

Message par **SRay** » mar. 28 avr. 2015 11:01

oui, intéressé par le retour, et les OS qui remontent les informations.

Message par **gizmo78** » mar. 28 avr. 2015 11:26

full debian wheezy, en kvm ou en openvz

Message par **Ryu_wm** » mar. 28 avr. 2015 18:22

Tiens c'est marrant ce sujet, je suis en train d'écrire un truc qui analyse mes logs apache pour me générer un fichier de config xml pour pfsense (bloquer les script-kiddies).

Message par **Ryu_wm** » sam. 9 mai 2015 16:33

Tu pourrais bloquer le bruit de fond gênant avec un IPS Snort ou Suricata en plugins sur ton pfSense. L'avantage c'est que tu aura accès à des jeu de règles prédéfinis.
Après ça peut être intéressant de se faire son truc maison aussi. Pour la science.

Pfsense 2.2.1 déployé, plugins en cours de config dont Suricata

Message par **Ryu_wm** » sam. 9 mai 2015 16:56

...super, l'install de Apache mod_security à flingué pfsense
/me trop la flemme de recommencer today

Message par **Ryu_wm** » sam. 9 mai 2015 17:25

ha bah reboot et il répond, mais pas ce que je voudrai ^^

Forbidden

You don't have permission to access / on this server.

bon go delete