naparuba Posted May 14, 2008 Share Posted May 14, 2008 Bonjour, Ayant déjà mis en place un Nagios pour la supervision système (espace disque, charge, ...) j'aimerai bien mettre en place un suivi des logs sur mes différentes machines (Linux et windows). Là deux solutions s'offrent à moi: *gérer au cas par cas avec un check_log de Nagios. C'est pratique pour quelques logs, mais non maintenable sur une infrastructure complète *avoir une vraie architecture de gestion de logs (si possible qui dialogue avec Nagios, mais ça je peux le rajouter à la solution s'il le faut). Pour la seconde solution, je vois beaucoup de doc sur syslog-ng, logcheck ou sec, mais pour le syslog-ng c'est juste la méthode de centralisation des logs et checklog et/ou sec n'a pas l'air simple à déployer et surtout maintenir sur un grand nombre de serveurs. Il me faudrait principalement un outils qui fasse l'analyse (avec corélasation si possible mais pas obligatoire) du résultat de syslog-ng. Le point le plus important est je pense le fait qu'il me mette de côté les entrées non reconnues afin que je puisse lui rajouter une règle correspondante. J'ai trouvé l'outil Octopussy mais je n'ai pas réussi à le mettre en place (le .deb n'arrive pas à s'installer et j'ai de gros bugs lorsque je l'installe à la mano ). Qu'utilisez-vous pour centraliser et analyser vos logs sur vos environnements? Merci beaucoup, Nap Link to comment Share on other sites More sharing options...
paulez Posted May 15, 2008 Share Posted May 15, 2008 Logwatch permet d'analyser les fichiers log. Sur leur site ils conseillent logconf pour de multiples hôtes, par contre je n'ai jamais testé. Link to comment Share on other sites More sharing options...
naparuba Posted May 16, 2008 Author Share Posted May 16, 2008 Merci, je vais regarder ce que ça donne Link to comment Share on other sites More sharing options...
leon47 Posted May 17, 2008 Share Posted May 17, 2008 Bonjour ! Perso, j'utilise syslog-ng sur le serveur central, syslogd avec export de tout les logs, *.* @srvsuv001.opwan.com dans le syslogd.conf Et ensuite, sur le serveur central j'utilise un plugin Oreon (surcouche de nagios) pour m'envoyer un mail en cas de critique ou warning. On n'est pas obligé d'envoyer tous les logs, mais quand on se fait pirater un serveur, il est rare de retrouver les logs sur la machine, tandis que sur un serveur syslog, c'est presque sûr. Link to comment Share on other sites More sharing options...
naparuba Posted May 19, 2008 Author Share Posted May 19, 2008 Tu utilises le check_log2 ou équivalent? Ce n'est pas trop galère à gérer suivant le nombre de machine? Le service, tu peux l'acrocher à un host ou bien c'est un host générique? Merci Link to comment Share on other sites More sharing options...
leon47 Posted May 21, 2008 Share Posted May 21, 2008 Premièrement un coucou au Lapinator ! En fait, j'utilise glpi pour gérer mon parc info, dès qu'un serveur (nagios) est défaillant, cela envoi un mail vers l'adresse de support, ce qui crée un ticket d'incident avec toutes les infos concernant le souci. Pour les logs, idem, dès que ça dépasse un certain seuil, boum, ça crée un mail puis un ticket. Pour ce qui est de la difficulté à gérer, je déconseille fortement d'activer le mail vers le support lors de la mise en place, un très très grand nombre de faux positifs. Il faut réussir à faire le tri dans ce que doit avoir le syslog, sinon tu va être saturer d'info. *.* @foo.bar.com peut être améliorer suivant le type de service et le niveau d'erreur mail.warn @foo.bar.com , par exemple. regarde dans le fichier /etc/syslogd.conf tu va avoir des exemples. Link to comment Share on other sites More sharing options...
Sandeman Posted May 22, 2008 Share Posted May 22, 2008 hop de notre bord on a pas fait dans la dentelle : - un démon perl qui reçoit les traps SNMP - un autre qui reçoit le syslogs - un autre les logs Nagios les deux sont parsés et injectés dans une base postgreSQL qui fournit : - des interfaces Web de consultation (par équipement, par type d'alerte ...) - des alertes automatiques (triggers sur la base : pas d'insertion depuis 5 minutes sur tel équipement = alerte) bilan une base de 40 Go (historique gardé 2 mois), avec 30 millions d'enregistrements par mois ... bon faut dire y'a 250 équipements qui tapent dessus (pour l'instant) mais c'est du fait main ... EDIT: sinon hier j'ai eu une présa de ça : http://www.novell.com/products/sentinel/ ... Link to comment Share on other sites More sharing options...
leon47 Posted May 22, 2008 Share Posted May 22, 2008 j'ai découvert hier prelude, ça permet d'analyser automatiquement les logs de toutes les machines, ça fait détection d'intrusion également. Couplé avec Snort cela semble devenir un joli monstre, il faut que j'arrive à virer la masse de faux positif, mais je pense migrer vers une telle solution pour les logs (toujours avec envoi de mail pour générer le ticket d'incident pour le tech) http://www.prelude-ids.org/ Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.