linformatique 100 agro Centralisation de logs 01022016 SOMMAIRE

l'informatique 100 % agro Centralisation de logs 01/02/2016

SOMMAIRE Introduction Solutions étudiées Conclusion La suite. . . 1 2 3 4 VIF, l'informatique 100% agro agr

1 Introduction

Introduction La centralisation des logs consiste à mettre sur un même système, une même plateforme, l’ensemble des logs des systèmes, applications et services des machines environnantes. On reprend alors le principe de la supervision, dont la surveillance des logs doit être une branche, qui consiste à centraliser les éléments de surveillance sur une plate-forme unique. On appellera cela un point unique de communication, ou point unique de contact (Single Point Of Contact – SPOC) pour l’analyse des logs. La centralisation de l’information permettra ici de mener plusieurs opérations qui iront toutes dans le sens de la sécurité et de la meilleure gestion du système d’information. Pourquoi la centralisation des logs ? Avoir une vue d’ensemble des équipements d’un SI pour y mener des traitements tels que : • Recherche / Statistique • Détection d’intrusion • Diagnostiquer un crash … VIF, l'informatique 100% agro agr

Introduction Pour mener à bien ce projet, une recherche a été effectuée sur les logiciels et outils gratuits permettant de parvenir à une centralisation des logs optimale. Plusieurs caractéristiques ont été prises en compte pour choisir les meilleurs logiciels (prise en main, représentations graphiques disponibles, alertes , nombre de logs maximal à prendre en compte …) Après ces études, trois outils ont été retenu : 1. 2. 3. Kibana, pour son aptitude à produire une grande diversité de graphiques, de tableau et même une géolocalisation Graylog, de par sa possibilité d’envoyer des alertes par mail. Splunk, pour son utilisation assez simple avec une bonne documentation sur internet en français qui plus est (mais limité à 500 Mo de log indexés par jour). VIF, l'informatique 100% agro agr

2 Solutions étudiées

Solutions étudiées Graylog VIF, l'informatique 100% agro agr

Solution étudiées Interface de recherche VIF, l'informatique 100% agro agr

Solution étudiées Exemple de tableau de bord VIF, l'informatique 100% agro agr

Solutions étudiées Configuration des alertes : VIF, l'informatique 100% agro agr

Solutions etudiées VIF, l'informatique 100% agro agr

Solutions étudiées Interface de recherche VIF, l'informatique 100% agro agr

Solutions étudiées Exemple de tableau de bord VIF, l'informatique 100% agro agr

Solutions étudiées Création des widgets VIF, l'informatique 100% agro agr

Solutions étudiées Création des widgets VIF, l'informatique 100% agro agr

Solutions étudiées Splunk VIF, l'informatique 100% agro agr

Solutions étudiées Architecture Splunk est compatible avec tous les systèmes d’exploitation tant au niveau client que serveur. VIF, l'informatique 100% agro agr

Solutions étudiées Première étape: configration d’ entrées de données. Cliquer sur l’icône ≡ en haut à gauche de l’écran puis > entrées de données. On a ensuite accès à ensuite plusieurs types d’inputs Ou des entrées transmises : comme des entrées locales : Logs d'événements Windows Fichiers & répertoires Collecteur d'événements HTTP Surveillance des performances Windows TCP UDP Scripts Après avoir configuré nos sources, on peut se rendre dans la rubrique recherche pour les retrouver: Et ainsi et effecter des recherches sur la liste des logs : VIF, l'informatique 100% agro agr

Solutions étudiées Interface de recherche VIF, l'informatique 100% agro agr

Solutions étudiées Création d’un tableau de bord VIF, l'informatique 100% agro agr

Solutions étudiées VIF, l'informatique 100% agro agr

Solution étudiées La liste de tous les logs qui Rempliront la condition de la Recherche sera donc visible dans Le tableau de bord choisi. VIF, l'informatique 100% agro agr

Solutions étudiées Visualisations disponibles VIF, l'informatique 100% agro agr

Solutions étudiées VIF, l'informatique 100% agro agr

Solutions étudiées Rapports VIF, l'informatique 100% agro agr

3 Conclusion

Conclusion Après l’étude des différentes solutions, nous pouvons en conclure que Splunk est le meilleur outil gratuit permettant l’analyse de log si la limite des 500 Mo n’est pas dépassée. Grâce à son installation très facile, son excellente prise en main et la diversité de visualisations disponibles, Splunk se place devant Kibana et Graylog car il réunit les points forts de ces deux outils. Classement : 1. 2. 3. VIF, l'informatique 100% agro agr

4 La suite

La suite… Ossec (HIDS) Ossec est un détecteur d’intrusion qui grâce à la lecture de logs peut détecter une anomalie, une attaque et agir en conséquence automatiquement en alertant par mail , bloquant une adresse ip, un utilisateur. VIF, l'informatique 100% agro agr

La suite… Ossec (HIDS) Interface web Ossec web-ui VIF, l'informatique 100% agro agr

La suite … Ossec (HIDS) Règles : Disponibles dans un dossier rules/ et au format. xml, elles permettent de déclencher une alerte quand les conditions de la règle ont été remplie. Exemple : Si le système détecte plus de 6 nouvelles connexions avec la même adresse IP dans un laps de temps inférieure à 60 secondes alors il déclenche une alerte de niveau 10. Ossec voit qu'une alerte de niveau 10 a été créée, l'active response se met donc en marche en dropant l'adresse ip à l'origine de la connexion. Actions (actives-responses) : Ossec peut disposer de plusieurs script qui peuvent être exécutés lorsqu’ une alerte est déclenchée : • En bloquant une adresse ip : • En envoyant un mail (ossec. conf) : On peut bien sûr paramétrer et personnaliser les alertes et actives-responses en fonction des besoins de l’utilisateurs et du SI. VIF, l'informatique 100% agro agr