ramouz Posté(e) le 22 septembre 2004 Partager Posté(e) le 22 septembre 2004 Bonjour a tous, Voila mon script iptable est nickel et fonctionne nickel aussi :) mais qd je fais un tail -f /var/log/message je n'y comprends rien :), y a t'il un moyen de trier ce genre d'information ? et voir uniquement ce qui est interessant ?? Autre question, j'aimerais voir les site visitée par les user du reseau qui eux sont sous winxp exemple : ip : 192.168.0.24 -> www.linux.com time : 17:39:25 date : 22/09/2004, est ce que cela est possible ? merci pour vos réponse :) a+ Lien vers le commentaire Partager sur d’autres sites More sharing options...
-rem- Posté(e) le 22 septembre 2004 Partager Posté(e) le 22 septembre 2004 mais qd je fais un tail -f /var/log/message je n'y comprends rien :), y a t'il un moyen de trier ce genre d'information ? et voir uniquement ce qui est interessant ?? regardes du coté d'ULOG Autre question, j'aimerais voir les site visitée par les user du reseau qui eux sont sous winxp exemple : ip : 192.168.0.24 -> www.linux.com time : 17:39:25 date : 22/09/2004, est ce que cela est possible ? Evidemment, c'est meme un des points forts de linux, niveau réseau il est vraiment béton. Tcpdump est ton ami, man tcpdump, mais en général : tcpdump -i <interface> -s 2048 -w <fichier_de_log> [port <port>] Ah merde, j'aurais du la laisser a Duke celle la... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Duke98 Posté(e) le 22 septembre 2004 Partager Posté(e) le 22 septembre 2004 pas celle la Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sandeman Posté(e) le 22 septembre 2004 Partager Posté(e) le 22 septembre 2004 il est vrai que /var/log/messages est un peu fourre-tout si on n'y fait pas attention tu peux aller jeter un oeil à la config de syslog (et donc au fichier syslog.conf) si tu veux mieux gérer tes logs. ensuite, il existe des brouettes d'analyseurs de logs, je te recommande : -soit de chercher "log parser" sur freshmeat.net ou slashdot.org -soit de chercher cette catégorie dans security-focus.com l'analyse d'un tcpdump ( -s0 plutôt que -s2048, tu es sur de ne pas louper les jumbo-frames et les runts ) est un art, tu peux plutôt te pencher vers ntop qui te donnera une matrice sources / destinations, avec tout plein d'infos sur tous les hotes (sources : de ton LAN, et cibles : viités) Pour l'utilisation du Web (et sueulement du Web), tu peux installer un proxy sur ta machine Linux. Plusieurs avantages : - économie de bande pasante (les pages déjà consultées sont cachées) - possibilité de mettre du filtrage (contre les pub, les popups, les extensions dangeureuses, les sites à éviter) - stats faciles et complètes sur l'utilisation faite d'Internet - simplification de l'admin (un DNS configuré sur le proxy qui répondre pour toutes les requêtes HTTP) le meilleur : squid (trrès complet ...) Voilà ! bonne chance :) Lien vers le commentaire Partager sur d’autres sites More sharing options...
ramouz Posté(e) le 23 septembre 2004 Auteur Partager Posté(e) le 23 septembre 2004 Bon commencons pas le commencement après avoir chercher de plus ample renseignement sur tcpdump, je me suis rendu compte qu'il n'etais pas totalement adapter a ce que je recherchais :/ je vais donc installer squid sous les conseils de plusieur personnes :) Je fais cela se soir si j'ai le temps je reposte ici les differente étape, c'est toujours bon a prendre :) a+ Lien vers le commentaire Partager sur d’autres sites More sharing options...
sc_net Posté(e) le 23 septembre 2004 Partager Posté(e) le 23 septembre 2004 Autre question, j'aimerais voir les site visitée par les user du reseau qui eux sont sous winxp exemple : ip : 192.168.0.24 -> www.linux.com time : 17:39:25 date : 22/09/2004, est ce que cela est possible ? ... c'est le rôle d'un proxy ... Regardes Dansguardian ou Squidguard ... Lien vers le commentaire Partager sur d’autres sites More sharing options...
-rem- Posté(e) le 23 septembre 2004 Partager Posté(e) le 23 septembre 2004 euh....Tres puissant tcpdump est. D'accord avec moi sera maitre Sandeman. Mais, plus simple surement pour toi sera l'utilisation d'un proxy. Squid est ton ami. Lien vers le commentaire Partager sur d’autres sites More sharing options...
sc_net Posté(e) le 23 septembre 2004 Partager Posté(e) le 23 septembre 2004 Certes, tcpdump est très puissant, ô Grand Dieu de Linux ... Mais il ne s'agit pas de réinventer la roue ( bien chacun fasse ce qu'il veut après tout), ni de faire dévier la fonction première des outils que l'on a dispotion ... tcpdump est d'abord un sniffer de paquet , et en cela oui peut tracer toutes les connexions d'un poste donné ... Le problème, c'est que c'est un outil en ligne de commande, il agit à la demande ... (bien que l'on pourrait le mettre en place dans un script couplé avec crontab ). IL NE REMPLACERA JAMAIS des techonologies existantes tel un proxy qui sa fonction première est de permettre/filtrer (et par extension de logguer) les connexions internet d'un poste client ... Lien vers le commentaire Partager sur d’autres sites More sharing options...
-rem- Posté(e) le 23 septembre 2004 Partager Posté(e) le 23 septembre 2004 Autre question, j'aimerais voir les site visitée par les user du reseau qui eux sont sous winxp exemple : ip : 192.168.0.24 -> www.linux.com time : 17:39:25 date : 22/09/2004, est ce que cela est possible ? Tcpdump répond parfaitement a cette question, car tu pourras connaitre tout ce qu'il y a eu comme échange sur le site, jusqu'aux login et mots de passe. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sandeman Posté(e) le 23 septembre 2004 Partager Posté(e) le 23 septembre 2004 Oui, très bien tcpdump pour du ponctuel, permet de tout faire, je suis donc d'accord avec vous deux d'ailleurs je recommande tcptrace, un outil pour décomposer à posteri les traces tcpdumps, très puissant est le code dans sa famille (à tcptrace) Sinon ntop fait une analyse permanente, et très poussée pour avoir une vue globale. Je l'utilise pour avoir une vue d'ensemble, rechercher les problèmes, je ne descend qu'à tcpdump/ethereal/tcptrace que pour les incidents et les pbs La homepage de ntop Lien vers le commentaire Partager sur d’autres sites More sharing options...
-rem- Posté(e) le 23 septembre 2004 Partager Posté(e) le 23 septembre 2004 ouais, Sandeman a raison de le préciser, lorsque l'on dispose de X sur la machine, Ethereal est vraiment pas mal , plus lisible que tcpdump. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.