Jump to content

Gestion de log centralisée


Recommended Posts

Bonjour,

Ayant déjà mis en place un Nagios pour la supervision système (espace disque, charge, ...) j'aimerai bien mettre en place un suivi des logs sur mes différentes machines (Linux et windows). Là deux solutions s'offrent à moi:

*gérer au cas par cas avec un check_log de Nagios. C'est pratique pour quelques logs, mais non maintenable sur une infrastructure complète :craint:

*avoir une vraie architecture de gestion de logs (si possible qui dialogue avec Nagios, mais ça je peux le rajouter à la solution s'il le faut).

Pour la seconde solution, je vois beaucoup de doc sur syslog-ng, logcheck ou sec, mais pour le syslog-ng c'est juste la méthode de centralisation des logs et checklog et/ou sec n'a pas l'air simple à déployer et surtout maintenir sur un grand nombre de serveurs. Il me faudrait principalement un outils qui fasse l'analyse (avec corélasation si possible mais pas obligatoire) du résultat de syslog-ng. Le point le plus important est je pense le fait qu'il me mette de côté les entrées non reconnues afin que je puisse lui rajouter une règle correspondante. J'ai trouvé l'outil Octopussy mais je n'ai pas réussi à le mettre en place (le .deb n'arrive pas à s'installer et j'ai de gros bugs lorsque je l'installe à la mano :incline: ).

Qu'utilisez-vous pour centraliser et analyser vos logs sur vos environnements?

Merci beaucoup, :ouioui:

Nap

Link to comment
Share on other sites

Bonjour !

Perso, j'utilise syslog-ng sur le serveur central, syslogd avec export de tout les logs,

*.* @srvsuv001.opwan.com

dans le syslogd.conf

Et ensuite, sur le serveur central j'utilise un plugin Oreon (surcouche de nagios) pour m'envoyer un mail en cas de critique ou warning.

On n'est pas obligé d'envoyer tous les logs, mais quand on se fait pirater un serveur, il est rare de retrouver les logs sur la machine, tandis que sur un serveur syslog, c'est presque sûr.

Link to comment
Share on other sites

Premièrement un coucou au Lapinator !

En fait, j'utilise glpi pour gérer mon parc info, dès qu'un serveur (nagios) est défaillant, cela envoi un mail vers l'adresse de support, ce qui crée un ticket d'incident avec toutes les infos concernant le souci. Pour les logs, idem, dès que ça dépasse un certain seuil, boum, ça crée un mail puis un ticket.

Pour ce qui est de la difficulté à gérer, je déconseille fortement d'activer le mail vers le support lors de la mise en place, un très très grand nombre de faux positifs. Il faut réussir à faire le tri dans ce que doit avoir le syslog, sinon tu va être saturer d'info.

*.* @foo.bar.com

peut être améliorer suivant le type de service et le niveau d'erreur

mail.warn @foo.bar.com , par exemple.

regarde dans le fichier /etc/syslogd.conf tu va avoir des exemples.

Link to comment
Share on other sites

hop

de notre bord on a pas fait dans la dentelle :

- un démon perl qui reçoit les traps SNMP

- un autre qui reçoit le syslogs

- un autre les logs Nagios

les deux sont parsés et injectés dans une base postgreSQL qui fournit :

- des interfaces Web de consultation (par équipement, par type d'alerte ...)

- des alertes automatiques (triggers sur la base : pas d'insertion depuis 5 minutes sur tel équipement = alerte)

bilan une base de 40 Go (historique gardé 2 mois), avec 30 millions d'enregistrements par mois ... bon faut dire y'a 250 équipements qui tapent dessus (pour l'instant)

mais c'est du fait main ...

EDIT: sinon hier j'ai eu une présa de ça : http://www.novell.com/products/sentinel/ ...

Link to comment
Share on other sites

j'ai découvert hier prelude, ça permet d'analyser automatiquement les logs de toutes les machines, ça fait détection d'intrusion également. Couplé avec Snort cela semble devenir un joli monstre, il faut que j'arrive à virer la masse de faux positif, mais je pense migrer vers une telle solution pour les logs (toujours avec envoi de mail pour générer le ticket d'incident pour le tech)

http://www.prelude-ids.org/

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

×
×
  • Create New...