La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Centralisation de logs

Publié parSylvie Blanchette Modifié depuis plus de 6 années

Présentations similaires

Présentation au sujet: "Centralisation de logs"— Transcription de la présentation:

1 Centralisation de logs
01/02/2016

2 1 2 3 4 SOMMAIRE Conclusion La suite ... Solutions étudiées
Introduction Solutions étudiées Conclusion La suite ... 1 2 3 4

3 1 Introduction

4 Introduction La centralisation des logs consiste à mettre sur un même système, une même plateforme, l’ensemble des logs des systèmes, applications et services des machines environnantes. On reprend alors le principe de la supervision, dont la surveillance des logs doit être une branche, qui consiste à centraliser les éléments de surveillance sur une plate-forme unique. On appellera cela un point unique de communication, ou point unique de contact (Single Point Of Contact – SPOC) pour l’analyse des logs. La centralisation de l’information permettra ici de mener plusieurs opérations qui iront toutes dans le sens de la sécurité et de la meilleure gestion du système d’information. Pourquoi la centralisation des logs ? Avoir une vue d’ensemble des équipements d’un SI pour y mener des traitements tels que : Recherche / Statistique Détection d’intrusion Diagnostiquer un crash …

5 Introduction Pour mener à bien ce projet, une recherche a été effectuée sur les logiciels et outils gratuits permettant de parvenir à une centralisation des logs optimale. Plusieurs caractéristiques ont été prises en compte pour choisir les meilleurs logiciels (prise en main, représentations graphiques disponibles, alertes , nombre de logs maximal à prendre en compte …) Après ces études, trois outils ont été retenu : Kibana, pour son aptitude à produire une grande diversité de graphiques, de tableau et même une géolocalisation Graylog, de par sa possibilité d’envoyer des alertes par mail. Splunk, pour son utilisation assez simple avec une bonne documentation sur internet en français qui plus est (mais limité à 500 Mo de log indexés par jour).

6 2 Solutions étudiées

7 Solutions étudiées Graylog

8 Solution étudiées Interface de recherche

9 Solution étudiées Exemple de tableau de bord

10 Solutions étudiées Configuration des alertes :

11 Solutions etudiées

12 Solutions étudiées Interface de recherche

13 Solutions étudiées Exemple de tableau de bord

14 Solutions étudiées Création des widgets

15 Solutions étudiées Création des widgets

16 Solutions étudiées Splunk

17 Solutions étudiées Architecture
Splunk est compatible avec tous les systèmes d’exploitation tant au niveau client que serveur.

18 Solutions étudiées Première étape: configration d’ entrées de données.
Cliquer sur l’icône ≡ en haut à gauche de l’écran  puis > entrées de données. On a ensuite accès à ensuite plusieurs types d’inputs comme des entrées locales : Fichiers & répertoires Collecteur d'événements HTTP TCP UDP Scripts Après avoir configuré nos sources, on peut se rendre dans la rubrique recherche pour les retrouver: Et ainsi et effecter des recherches sur la liste des logs : Ou des entrées transmises : Logs d'événements Windows Fichiers & répertoires Surveillance des performances Windows TCP UDP Scripts

19 Solutions étudiées Interface de recherche

20 Solutions étudiées Création d’un tableau de bord

21 Solutions étudiées

22 Solution étudiées La liste de tous les logs qui
Rempliront la condition de la Recherche sera donc visible dans Le tableau de bord choisi.

23 Solutions étudiées Visualisations disponibles

24 Solutions étudiées

25 Solutions étudiées Rapports

26 3 Conclusion

27 Conclusion Après l’étude des différentes solutions, nous pouvons en conclure que Splunk est le meilleur outil gratuit permettant l’analyse de log si la limite des 500 Mo n’est pas dépassée. Grâce à son installation très facile, son excellente prise en main et la diversité de visualisations disponibles, Splunk se place devant Kibana et Graylog car il réunit les points forts de ces deux outils. Classement : 1. 2. 3.

28 4 La suite

29 La suite… Ossec (HIDS) Ossec est un détecteur d’intrusion qui grâce à la lecture de logs peut détecter une anomalie, une attaque et agir en conséquence automatiquement en alertant par mail , bloquant une adresse ip, un utilisateur.

30 La suite… Ossec (HIDS) Interface web Ossec web-ui

31 La suite … Ossec (HIDS) Règles :
Disponibles dans un dossier rules/ et au format.xml, elles permettent de déclencher une alerte quand les conditions de la règle ont été remplie. Exemple : Si le système détecte plus de 6 nouvelles connexions avec la même adresse IP dans un laps de temps inférieure à 60 secondes alors il déclenche une alerte de niveau 10. Ossec voit qu'une alerte de niveau 10 a été créée, l'active response se met donc en marche en dropant l'adresse ip à l'origine de la connexion. Actions (actives-responses) : Ossec peut disposer de plusieurs script qui peuvent être exécutés lorsqu’ une alerte est déclenchée : En bloquant une adresse ip : En envoyant un mail (ossec.conf) : On peut bien sûr paramétrer et personnaliser les alertes et actives-responses en fonction des besoins de l’utilisateurs et du SI.

Télécharger ppt "Centralisation de logs"

Présentations similaires

Gestion des fichiers LOgs

Gestion des fichiers LOgs
Messagerie collaborative Mobilité et Fonctions avancées du Webmail.

Messagerie collaborative Mobilité et Fonctions avancées du Webmail.
COPIL SIALLE - 12/10/07 Service d’Information et d’Analyse des Logiciels Libres Éducatifs

COPIL SIALLE - 12/10/07 Service d’Information et d’Analyse des Logiciels Libres Éducatifs
Formation des Chefs d’établissement Vague 3 Janvier-Février 2011 – V.0 SAFCO-Mission TICE-IUFM Formation ENT Exploiter les statistiques.

Formation des Chefs d’établissement Vague 3 Janvier-Février 2011 – V.0 SAFCO-Mission TICE-IUFM Formation ENT Exploiter les statistiques.
Version du document: 1.00 Version de logiciel v3.7.1 Version CBox: C5 Téléassistance Configuration Téléopérateur Langage: Français.

Version du document: 1.00 Version de logiciel v3.7.1 Version CBox: C5 Téléassistance Configuration Téléopérateur Langage: Français.
Comprendre Internet Bases théoriques et exercices pratiques, pour débutants complets... Et curieux !

Comprendre Internet Bases théoriques et exercices pratiques, pour débutants complets... Et curieux !
Ghost (Création d'image Système)‏ C.R.I.P.T Informatique (BOYER Jérôme)‏

Ghost (Création d'image Système)‏ C.R.I.P.T Informatique (BOYER Jérôme)‏
LES FONCTIONS D'UN SYSTEME D'EXPLOITATION ● Le système d'exploitation contrôle entièrement les ressources matérielles locales. ● Il est responsable de.

LES FONCTIONS D'UN SYSTEME D'EXPLOITATION ● Le système d'exploitation contrôle entièrement les ressources matérielles locales. ● Il est responsable de.
Le système Raid 5 Table des matières Qu'est ce que le RAID ? Les objectifs Le raid 5 Les avantages et les inconvénients Les composants d’un Raid.

Le système Raid 5 Table des matières Qu'est ce que le RAID ? Les objectifs Le raid 5 Les avantages et les inconvénients Les composants d’un Raid.
AIDE PÉDAGOGIQUE SMS AIDE PÉDAGOGIQUE SMS (Système de Management de la Sûreté)(Système de Management de la Sûreté) DIRECTION GENERALE DU CONCESSIONNAIRE.

AIDE PÉDAGOGIQUE SMS AIDE PÉDAGOGIQUE SMS (Système de Management de la Sûreté)(Système de Management de la Sûreté) DIRECTION GENERALE DU CONCESSIONNAIRE.
Séminaire 22-23 Novembre 2006. Outils de diagnostic réseau (O.D.R)

Séminaire Novembre Outils de diagnostic réseau (O.D.R)
AIDE PÉDAGOGIQUE SMS AIDE PÉDAGOGIQUE SMS (Système de Management de la Sûreté)(Système de Management de la Sûreté) DIRECTION GENERALE DU CONCESSIONNAIRE.

AIDE PÉDAGOGIQUE SMS AIDE PÉDAGOGIQUE SMS (Système de Management de la Sûreté)(Système de Management de la Sûreté) DIRECTION GENERALE DU CONCESSIONNAIRE.
1 Observer le paramétrage d’un réseau. 2 Dans notre réseau téléphonique habituel, les postes, reliés à un auto-commutateur... …peuvent dialoguer, car.

1 Observer le paramétrage d’un réseau. 2 Dans notre réseau téléphonique habituel, les postes, reliés à un auto-commutateur... …peuvent dialoguer, car.
Février 2006X. Belanger / Guilde Introduction à. Février 2006X. Belanger / Guilde Qu'est ce que Samba ? ● Implémentation libre du protocole CIFS/SMB (client.

Février 2006X. Belanger / Guilde Introduction à. Février 2006X. Belanger / Guilde Qu'est ce que Samba ? ● Implémentation libre du protocole CIFS/SMB (client.
Présentation du programme

Présentation du programme
P.1 Mémoire de fin d’études Responsable en Ingénierie Réseaux Guillaume Jeanney Mise en place d’une solution de supervision LOGO ENTREPRISE.

P.1 Mémoire de fin d’études Responsable en Ingénierie Réseaux Guillaume Jeanney Mise en place d’une solution de supervision LOGO ENTREPRISE.
AIDE PÉDAGOGIQUE SMS AIDE PÉDAGOGIQUE SMS (Système de Management de la Sûreté)(Système de Management de la Sûreté)DPSSE AIDE PÉDAGOGIQUE SMS AIDE PÉDAGOGIQUE.

AIDE PÉDAGOGIQUE SMS AIDE PÉDAGOGIQUE SMS (Système de Management de la Sûreté)(Système de Management de la Sûreté)DPSSE AIDE PÉDAGOGIQUE SMS AIDE PÉDAGOGIQUE.
L’intérêt de sauvegarder certaines données stockées localement sur les postes clients est souvent trop sous-estimée par nos utilisateurs. Casse matérielle,

L’intérêt de sauvegarder certaines données stockées localement sur les postes clients est souvent trop sous-estimée par nos utilisateurs. Casse matérielle,
TRAAM Académie de Limoges1 TRAvaux Académiques Mutualisés Comment intégrer à l’enseignement de la technologie les services mis à la disposition des élèves.

TRAAM Académie de Limoges1 TRAvaux Académiques Mutualisés Comment intégrer à l’enseignement de la technologie les services mis à la disposition des élèves.
Module S41 Chapitre 11  Configuration de Windows XP Professionnel pour l'informatique mobile.

Module S41 Chapitre 11  Configuration de Windows XP Professionnel pour l'informatique mobile.

Présentations similaires

Annonces Google