Centraliser et analyser ses logs - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 29-05-2007 à 12:06:27
le plus simple c'est un serveur FTP
un script qui recupere les logs et les place dans une arborescence
lancé par la crontab toutes les nuits par exemple.
sinon plus propre
c'est pareil mais avec un fichier de rapport généré par le script plustot que juste archiver les logs.
Marsh Posté le 29-05-2007 à 12:17:35
Je suis en train de me faire un script pour les attaques ssh, je suis pas un pro du bash script et il doit y avoir mieux mais bon si ça interesse :
http://ogm2000.free.fr/abuse.sh
Marsh Posté le 29-05-2007 à 14:42:50
Ok, merci pour les infos et pour le script.
Connaissez-vous des moyens pour analyser les logs, parseurs de logs ou autre?
Marsh Posté le 29-05-2007 à 14:50:26
JokE25 a écrit : Ok, merci pour les infos et pour le script. |
n'importe quel IDS devrais savoir faire non?
Marsh Posté le 30-05-2007 à 15:14:08
Je vais voir ce que donne logcheck et essayer aussi de voir les fonctions d'un IDS.
Si vous avez d'autres idées n'hésitez pas à les donner.
Marsh Posté le 23-06-2007 à 19:15:00
M300A a écrit : logcheck sur debian. |
Très pratique. Ca fait de la lecture pour accompagner le café tous les matins
Marsh Posté le 23-06-2007 à 21:22:59
Bonjour,
Tu peux regarder du projet suivant : Syslog-analyzer
Il est possible de développer ses propres templates pour tout ce qui est pas encore gérer.
Marsh Posté le 23-05-2007 à 10:42:08
Bonjour à tous.
Je dispose d'un réseau constitué d'une vingtaine de serveurs.
Je suis à la recherche d'une solution pour centraliser les logs de différents serveurs sur un serveur de logs pour ensuite les analyser.
J'ai déjà réussi à centraliser les logs grâce à syslog-ng.
Mon problème maintenant est l'analyse. J'aimerais pouvoir récupérer les informations suivantes :
- les erreurs critiques des différents services.
- qui se connecte et sur quel machine ? ( logs SAMBA, LDAP, ... )
- détecter les attaques de type bruteforcing ssh.
- observer les authentifications root.
- ...
Une fois les informations triées, un mail sera envoyé à l'admin avec le résumé des problèmes.
Ma question est de savoir si vous connaissez des softs ou des méthodes appropriés.