naparuba Posté(e) le 14 mai 2008 Partager Posté(e) le 14 mai 2008 Bonjour, Ayant déjà mis en place un Nagios pour la supervision système (espace disque, charge, ...) j'aimerai bien mettre en place un suivi des logs sur mes différentes machines (Linux et windows). Là deux solutions s'offrent à moi: *gérer au cas par cas avec un check_log de Nagios. C'est pratique pour quelques logs, mais non maintenable sur une infrastructure complète *avoir une vraie architecture de gestion de logs (si possible qui dialogue avec Nagios, mais ça je peux le rajouter à la solution s'il le faut). Pour la seconde solution, je vois beaucoup de doc sur syslog-ng, logcheck ou sec, mais pour le syslog-ng c'est juste la méthode de centralisation des logs et checklog et/ou sec n'a pas l'air simple à déployer et surtout maintenir sur un grand nombre de serveurs. Il me faudrait principalement un outils qui fasse l'analyse (avec corélasation si possible mais pas obligatoire) du résultat de syslog-ng. Le point le plus important est je pense le fait qu'il me mette de côté les entrées non reconnues afin que je puisse lui rajouter une règle correspondante. J'ai trouvé l'outil Octopussy mais je n'ai pas réussi à le mettre en place (le .deb n'arrive pas à s'installer et j'ai de gros bugs lorsque je l'installe à la mano ). Qu'utilisez-vous pour centraliser et analyser vos logs sur vos environnements? Merci beaucoup, Nap Lien vers le commentaire Partager sur d’autres sites More sharing options...
paulez Posté(e) le 15 mai 2008 Partager Posté(e) le 15 mai 2008 Logwatch permet d'analyser les fichiers log. Sur leur site ils conseillent logconf pour de multiples hôtes, par contre je n'ai jamais testé. Lien vers le commentaire Partager sur d’autres sites More sharing options...
naparuba Posté(e) le 16 mai 2008 Auteur Partager Posté(e) le 16 mai 2008 Merci, je vais regarder ce que ça donne Lien vers le commentaire Partager sur d’autres sites More sharing options...
leon47 Posté(e) le 17 mai 2008 Partager Posté(e) le 17 mai 2008 Bonjour ! Perso, j'utilise syslog-ng sur le serveur central, syslogd avec export de tout les logs, *.* @srvsuv001.opwan.com dans le syslogd.conf Et ensuite, sur le serveur central j'utilise un plugin Oreon (surcouche de nagios) pour m'envoyer un mail en cas de critique ou warning. On n'est pas obligé d'envoyer tous les logs, mais quand on se fait pirater un serveur, il est rare de retrouver les logs sur la machine, tandis que sur un serveur syslog, c'est presque sûr. Lien vers le commentaire Partager sur d’autres sites More sharing options...
naparuba Posté(e) le 19 mai 2008 Auteur Partager Posté(e) le 19 mai 2008 Tu utilises le check_log2 ou équivalent? Ce n'est pas trop galère à gérer suivant le nombre de machine? Le service, tu peux l'acrocher à un host ou bien c'est un host générique? Merci Lien vers le commentaire Partager sur d’autres sites More sharing options...
leon47 Posté(e) le 21 mai 2008 Partager Posté(e) le 21 mai 2008 Premièrement un coucou au Lapinator ! En fait, j'utilise glpi pour gérer mon parc info, dès qu'un serveur (nagios) est défaillant, cela envoi un mail vers l'adresse de support, ce qui crée un ticket d'incident avec toutes les infos concernant le souci. Pour les logs, idem, dès que ça dépasse un certain seuil, boum, ça crée un mail puis un ticket. Pour ce qui est de la difficulté à gérer, je déconseille fortement d'activer le mail vers le support lors de la mise en place, un très très grand nombre de faux positifs. Il faut réussir à faire le tri dans ce que doit avoir le syslog, sinon tu va être saturer d'info. *.* @foo.bar.com peut être améliorer suivant le type de service et le niveau d'erreur mail.warn @foo.bar.com , par exemple. regarde dans le fichier /etc/syslogd.conf tu va avoir des exemples. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sandeman Posté(e) le 22 mai 2008 Partager Posté(e) le 22 mai 2008 hop de notre bord on a pas fait dans la dentelle : - un démon perl qui reçoit les traps SNMP - un autre qui reçoit le syslogs - un autre les logs Nagios les deux sont parsés et injectés dans une base postgreSQL qui fournit : - des interfaces Web de consultation (par équipement, par type d'alerte ...) - des alertes automatiques (triggers sur la base : pas d'insertion depuis 5 minutes sur tel équipement = alerte) bilan une base de 40 Go (historique gardé 2 mois), avec 30 millions d'enregistrements par mois ... bon faut dire y'a 250 équipements qui tapent dessus (pour l'instant) mais c'est du fait main ... EDIT: sinon hier j'ai eu une présa de ça : http://www.novell.com/products/sentinel/ ... Lien vers le commentaire Partager sur d’autres sites More sharing options...
leon47 Posté(e) le 22 mai 2008 Partager Posté(e) le 22 mai 2008 j'ai découvert hier prelude, ça permet d'analyser automatiquement les logs de toutes les machines, ça fait détection d'intrusion également. Couplé avec Snort cela semble devenir un joli monstre, il faut que j'arrive à virer la masse de faux positif, mais je pense migrer vers une telle solution pour les logs (toujours avec envoi de mail pour générer le ticket d'incident pour le tech) http://www.prelude-ids.org/ Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.