Centralisation de logs

Slides:

Advertisements

Présentations similaires

Gestion des fichiers LOgs

Advertisements

Messagerie collaborative Mobilité et Fonctions avancées du Webmail.

COPIL SIALLE - 12/10/07 Service d’Information et d’Analyse des Logiciels Libres Éducatifs

Formation des Chefs d’établissement Vague 3 Janvier-Février 2011 – V.0 SAFCO-Mission TICE-IUFM Formation ENT Exploiter les statistiques.

Version du document: 1.00 Version de logiciel v3.7.1 Version CBox: C5 Téléassistance Configuration Téléopérateur Langage: Français.

Comprendre Internet Bases théoriques et exercices pratiques, pour débutants complets... Et curieux !

Ghost (Création d'image Système)‏ C.R.I.P.T Informatique (BOYER Jérôme)‏

LES FONCTIONS D'UN SYSTEME D'EXPLOITATION ● Le système d'exploitation contrôle entièrement les ressources matérielles locales. ● Il est responsable de.

Le système Raid 5 Table des matières Qu'est ce que le RAID ? Les objectifs Le raid 5 Les avantages et les inconvénients Les composants d’un Raid.

AIDE PÉDAGOGIQUE SMS AIDE PÉDAGOGIQUE SMS (Système de Management de la Sûreté)(Système de Management de la Sûreté) DIRECTION GENERALE DU CONCESSIONNAIRE.

Séminaire Novembre Outils de diagnostic réseau (O.D.R)

AIDE PÉDAGOGIQUE SMS AIDE PÉDAGOGIQUE SMS (Système de Management de la Sûreté)(Système de Management de la Sûreté) DIRECTION GENERALE DU CONCESSIONNAIRE.

1 Observer le paramétrage d’un réseau. 2 Dans notre réseau téléphonique habituel, les postes, reliés à un auto-commutateur... …peuvent dialoguer, car.

Février 2006X. Belanger / Guilde Introduction à. Février 2006X. Belanger / Guilde Qu'est ce que Samba ? ● Implémentation libre du protocole CIFS/SMB (client.

Présentation du programme

P.1 Mémoire de fin d’études Responsable en Ingénierie Réseaux Guillaume Jeanney Mise en place d’une solution de supervision LOGO ENTREPRISE.

AIDE PÉDAGOGIQUE SMS AIDE PÉDAGOGIQUE SMS (Système de Management de la Sûreté)(Système de Management de la Sûreté)DPSSE AIDE PÉDAGOGIQUE SMS AIDE PÉDAGOGIQUE.

L’intérêt de sauvegarder certaines données stockées localement sur les postes clients est souvent trop sous-estimée par nos utilisateurs. Casse matérielle,

TRAAM Académie de Limoges1 TRAvaux Académiques Mutualisés Comment intégrer à l’enseignement de la technologie les services mis à la disposition des élèves.

Module S41 Chapitre 11 Configuration de Windows XP Professionnel pour l'informatique mobile.

SanMarco – Outil MicroStrategy Manuel d’utilisation sur les fonctionnalités 27 juillet 2015.

Diffusion en streaming de vidéos d’assistance au dépannage

Eric b, emmanuel l, damien t

Mise en place d’un système de partage de fichiers

Je collecte l’information Je mets en place une veille informationnelle

Réussir la mise en œuvre de Pôle emploi 2015 Plaquette de présentation

Phishing : Techniques et sensibilisation

Utiliser le dossier Mon EBSCOhost

Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN

Présentation Scribe NG Serveur pédagogique.

Sécurité - VPN - Configurer la mise à jour du client

(Système de Management de la Sûreté)

Présentation du projet d’E.P.I.

Cahier des charges Hôpital Avicenne.

Les Tests de performances

Les protocoles du Web Professeur: Tanja Dinić Étudiant:

Installation et Configuration Internet Information Server (IIS 5)

Présentation de JQUERY

fonctionnalités iiS iis

Outils Statistiques pour la Sémantique Décembre 2013

Créer une alerte de recherche dans EBSCOhost

Wireshark Capture et analyse de trames IP

Direction du système d’information et de la stratégie numérique

Documentation technique (Linux)

Windows Server 2012 Objectifs

Outils et principes de base. Exemple d’application  Gestion de données d’enquête : Interface de saisie en ligne  insère directement les données dans.

Microsoft Office 365 Qu’est ce que c’est ?. 2 Introduction En quelques mots… Qu'est-ce que Office 365 ? Tout comme Google Apps, Office 365 est une suite.

BTS SIO 2ème année SLAM SISR

Guide n°1 Formation initiale

Service d’Information et d’Analyse des Logiciels Libres Éducatifs

La gestion des habilitations par le partenaire

Missions Locales Serveur Mutualisé

Messagerie (Orange - Gmail)

Cote d’or Date : 31/05/2018.

Un cloud de production et de stockage

Outils numérique pour la chimie Logiciel ChemSketch Réalisé par : Abdillahi Robleh Mohamed Martin Julien.

Présentation des services IT

Notions d'architecture client-serveur. Présentation de l'architecture d'un système client/serveur Des machines clientes contactent un serveur qui leur.

Tableau de bord d’un système de recommandation

Gestion des photos Des exemples de copier – coller ( vu )

1 DEPLOIEMENT D’UN SYSTEME DE REPARTITION DE CHARCHE (LOAD BALANCING) Abasse KPEGOUNI, Ingénieur Systèmes et Réseaux.

Présentation PISTE pour les partenaires raccordés en API

Dridi Lobna 1 Couche Réseau II Réseau : Gestion de l’accès.

DONNÉE DE BASE QM Manuel de formation. Agenda 2  Introduction  Objectif de la formation  Données de base QM: Caractéristique de contrôle Catalogue.

Business Intelligence en ACube OLAP et Reporting avec ACubeOLAP et GRaM.

Comment aller plus loin avec Zotero? Comité d’Aide à la Publication, FMT Zotero worshop Hand’s on session Zotero worshop Hand’s on session 12h-12h30.

Configuration post installation

Transcription de la présentation:

Centralisation de logs 01/02/2016

1 2 3 4 SOMMAIRE Conclusion La suite ... Solutions étudiées Introduction Solutions étudiées Conclusion La suite ... 1 2 3 4

1 Introduction

Introduction La centralisation des logs consiste à mettre sur un même système, une même plateforme, l’ensemble des logs des systèmes, applications et services des machines environnantes. On reprend alors le principe de la supervision, dont la surveillance des logs doit être une branche, qui consiste à centraliser les éléments de surveillance sur une plate-forme unique. On appellera cela un point unique de communication, ou point unique de contact (Single Point Of Contact – SPOC) pour l’analyse des logs. La centralisation de l’information permettra ici de mener plusieurs opérations qui iront toutes dans le sens de la sécurité et de la meilleure gestion du système d’information. Pourquoi la centralisation des logs ? Avoir une vue d’ensemble des équipements d’un SI pour y mener des traitements tels que : Recherche / Statistique Détection d’intrusion Diagnostiquer un crash …

Introduction Pour mener à bien ce projet, une recherche a été effectuée sur les logiciels et outils gratuits permettant de parvenir à une centralisation des logs optimale. Plusieurs caractéristiques ont été prises en compte pour choisir les meilleurs logiciels (prise en main, représentations graphiques disponibles, alertes , nombre de logs maximal à prendre en compte …) Après ces études, trois outils ont été retenu : Kibana, pour son aptitude à produire une grande diversité de graphiques, de tableau et même une géolocalisation Graylog, de par sa possibilité d’envoyer des alertes par mail. Splunk, pour son utilisation assez simple avec une bonne documentation sur internet en français qui plus est (mais limité à 500 Mo de log indexés par jour).

2 Solutions étudiées

Solutions étudiées Graylog

Solution étudiées Interface de recherche

Solution étudiées Exemple de tableau de bord

Solutions étudiées Configuration des alertes :

Solutions etudiées

Solutions étudiées Interface de recherche

Solutions étudiées Exemple de tableau de bord

Solutions étudiées Création des widgets

Solutions étudiées Création des widgets

Solutions étudiées Splunk

Solutions étudiées Architecture Splunk est compatible avec tous les systèmes d’exploitation tant au niveau client que serveur.

Solutions étudiées Première étape: configration d’ entrées de données. Cliquer sur l’icône ≡ en haut à gauche de l’écran puis > entrées de données. On a ensuite accès à ensuite plusieurs types d’inputs comme des entrées locales : Fichiers & répertoires Collecteur d'événements HTTP TCP UDP Scripts Après avoir configuré nos sources, on peut se rendre dans la rubrique recherche pour les retrouver: Et ainsi et effecter des recherches sur la liste des logs : Ou des entrées transmises : Logs d'événements Windows Fichiers & répertoires Surveillance des performances Windows TCP UDP Scripts

Solutions étudiées Interface de recherche

Solutions étudiées Création d’un tableau de bord

Solutions étudiées

Solution étudiées La liste de tous les logs qui Rempliront la condition de la Recherche sera donc visible dans Le tableau de bord choisi.

Solutions étudiées Visualisations disponibles

Solutions étudiées

Solutions étudiées Rapports

3 Conclusion

Conclusion Après l’étude des différentes solutions, nous pouvons en conclure que Splunk est le meilleur outil gratuit permettant l’analyse de log si la limite des 500 Mo n’est pas dépassée. Grâce à son installation très facile, son excellente prise en main et la diversité de visualisations disponibles, Splunk se place devant Kibana et Graylog car il réunit les points forts de ces deux outils. Classement : 1. 2. 3.

4 La suite

La suite… Ossec (HIDS) Ossec est un détecteur d’intrusion qui grâce à la lecture de logs peut détecter une anomalie, une attaque et agir en conséquence automatiquement en alertant par mail , bloquant une adresse ip, un utilisateur.

La suite… Ossec (HIDS) Interface web Ossec web-ui

La suite … Ossec (HIDS) Règles : Disponibles dans un dossier rules/ et au format.xml, elles permettent de déclencher une alerte quand les conditions de la règle ont été remplie. Exemple : Si le système détecte plus de 6 nouvelles connexions avec la même adresse IP dans un laps de temps inférieure à 60 secondes alors il déclenche une alerte de niveau 10. Ossec voit qu'une alerte de niveau 10 a été créée, l'active response se met donc en marche en dropant l'adresse ip à l'origine de la connexion. Actions (actives-responses) : Ossec peut disposer de plusieurs script qui peuvent être exécutés lorsqu’ une alerte est déclenchée : En bloquant une adresse ip : En envoyant un mail (ossec.conf) : On peut bien sûr paramétrer et personnaliser les alertes et actives-responses en fonction des besoins de l’utilisateurs et du SI.