SMPFR

Yop,

Un petit sujet sur la gestion des logs.

Je vais devoir mettre en place un système pour gérer et analyser des logs pour en créer des alertes.

De ce que j'ai vu:
- ELK: Elasticsearch, Logstatsh, Kibana
- graylog2

Je pense essayer d'installer ce dernier car moins de composants.

Vous en utilisez d'autres? des infos?

Merci

J'en utilise pas encore, mais j'avais un peu regardé ce que je pouvais utiliser pour centraliser des logs d'un FreeNAS, d'un pfSense, d'un onduleur/NUTS voire d'un Snort/Suricata et d'une station Windows.

Logstash + ElasticSearch est très utilisé donc documentation et exemples de config plein le net.

J'étais aussi tombé sur FluentD qui semblait assez sympa :
http://www.fluentd.org/

Graylog2 >> joli site web déjà ^^ si tu test je suis curieux d'avoir un avis

ce qui me gène dans les deux cas: java :/

après à voir, si graylog s'installe bien et fait ce que je veux go!

ELK, j'ai testé mais pas trouvé encore de tuto qui me plaise.

Tuto pour graylog:

http://m4nch0t.fr/2013/03/10/installati ... g2/?lang=0
http://romain.therrat.fr/graylog2-insta ... ur-debian/

ce qui me gène dans les deux cas: java :/

graylog2 et fluentd c'est du Ruby/Rails et du C nan ?

graylog utilise aussi elasticsearch de ce que j'ai vu, donc java aussi

mais graylog c'est aussi du ruby

Un tuto qui me plait bien pour ELK:

https://www.digitalocean.com/community/ ... untu-14-04

Tiens c'est marrant ce sujet, je suis en train d'écrire un truc qui analyse mes logs apache pour me générer un fichier de config xml pour pfsense (bloquer les script-kiddies).

Tiens c'est marrant ce sujet, je suis en train d'écrire un truc qui analyse mes logs apache pour me générer un fichier de config xml pour pfsense (bloquer les script-kiddies).

Tu pourrais bloquer le bruit de fond gênant avec un IPS Snort ou Suricata en plugins sur ton pfSense. L'avantage c'est que tu aura accès à des jeu de règles prédéfinis.
Après ça peut être intéressant de se faire son truc maison aussi. Pour la science.

ELK en place, basiquement pour l'instant avec un seul hôte ajouté.

pas mal ca ce défend bien, assez réactif. A voir avec une montée en charge de ce que ca demande en ressources

Tu pourrais bloquer le bruit de fond gênant avec un IPS Snort ou Suricata en plugins sur ton pfSense. L'avantage c'est que tu aura accès à des jeu de règles prédéfinis.

Je suis sur un pfsense 1.2.3, les plugins n'existent plus (pouquoi un si vieux pfsense ? ben parce que la machine qui le gère est de l'ordre du µcpu avec µram ^^)

MAIS je te remercie, je vais tester une des dernières versions de Pfsense en VM pour voir ce que donnent ces plugins et voir si je peux pas les intégrer à la main sur mon opérationnel

Après ça peut être intéressant de se faire son truc maison aussi. Pour la science.

Voilà, c'est aussi pour le fun

Du coup gizmo tu n'as pas testé graylog plus que ça?

Ton ELK tourne sur quel matériel ?

nop pas testé du tout ^^ la je vais tester ELK, si ca me convient je vais pas plus loin, sinon je verrais ce que donne Graylog2.

ca tourne dans une vm debian 7 64 avec 2vcore et 2Go sur une xeon 1230.

Moyen d'avoir un screen de ELK ?

mp

pareil cob si tu veux voir à quoi ca ressemble

Bonjour,

Je m'étais penché sur cette problématique pour le boulot, mais pas eu le temps d'aller voir plus loin.
En tout cas, je ne désirais pas mettre du JAVA, car nous ne sommes pas amis tous les deux

J'avais trouvé en plus :
- http://fr.splunk.com/view/splunk/SP-CAAAG57
- http://www.logzilla.net/solutions/software (ex https://code.google.com/p/php-syslog-ng/)
De la doc Cisco
- http://www.cisco.com/c/en/us/products/c ... 57812.html
Conversion du format Eventlog Windows à syslog
- https://code.google.com/p/eventlog-to-syslog/

Bref, pas mal de solution et manque de temps pour me pencher sur la bonne approche.
En tout cas; je vais suivre ce sujet

bas écoute la c'est en place, avec une seule vm qui remonte dessus.

je vais en ajouter d'autre cette semaine (6 normalement) et je vais commencer à faire des filtres etc

je dirais ce que ca donne niveau ressources et accessibilité

oui, intéressé par le retour, et les OS qui remontent les informations.

full debian wheezy, en kvm ou en openvz

Tiens c'est marrant ce sujet, je suis en train d'écrire un truc qui analyse mes logs apache pour me générer un fichier de config xml pour pfsense (bloquer les script-kiddies).

Tu pourrais bloquer le bruit de fond gênant avec un IPS Snort ou Suricata en plugins sur ton pfSense. L'avantage c'est que tu aura accès à des jeu de règles prédéfinis.
Après ça peut être intéressant de se faire son truc maison aussi. Pour la science.

Pfsense 2.2.1 déployé, plugins en cours de config dont Suricata

...super, l'install de Apache mod_security à flingué pfsense
/me trop la flemme de recommencer today

ha bah reboot et il répond, mais pas ce que je voudrai ^^

Forbidden

You don't have permission to access / on this server.

bon go delete