La journalisation syslog

Slides:



Advertisements
Présentations similaires
Produit Gammes Nomenclatures Modules Techniques Prix de Revient Prix de Vente Modules Techniques Client Marges Mise en route Temps Unitaire Prix (Ex:
Advertisements

Les protocoles réseau.
Module 5 : Implémentation de l'impression
Page d accueil.
GESTION D’IMPRISSION SOUS WINDOWS & LINUX
Master Professionnelle Sciences et Techniques 2 juillet
Introduction aux réseaux informatiques
Utiliser autrement des données de Base Elèves 1) Choisir les données Base Élèves propose 3 sortes de listes, par exemple dans le menu : Elèves : Liste.
- ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs.
- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.
Firewall sous Linux Netfilter / iptables.
DUDIN Aymeric MARINO Andrès
Module 10 : Gestion et analyse de l'accès réseau
Module 3 : Gestion et analyse du service DHCP
Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.
Vue d'ensemble Implémentation de la sécurité IPSec
Module 6 : Gestion et analyse du système DNS
Module 7 : Résolution de noms NetBIOS à l'aide du service WINS
Plan de formation Chapitre 1 : Présentation de SAP
Plan de formation Chapitre 1 : Présentation de SAP
simulateur de réseau de machines UML connectées par WiFi mode ad-hoc
Mode demploi du programme de réservation Page 1: Lutilisateur consulte le planning Les utilisateurs se connectent sur le serveur à laide de leur navigateur.
Cours Présenté par …………..
La fonction Style Permet de créer des types de texte, par exemple
Assistance à distance Parfois on se sent bien seul face à un problème informatique surtout si on n’est qu’un simple utilisateur. Lorsqu'un problème survient.
Module 13 : Implémentation de la protection contre les sinistres
THERMOS THERMOS Vous présente. THERMOS est un superviseur de fours de traitements thermiques Il gère la température, le temps de traitement d'échantillons.
Formation Centra - GDE.
SECURITE DU SYSTEME D’INFORMATION (SSI)
Décembre de 7 Accès à pluriweb pour ladministrateur Aperçu de pluriweb après le branchement.
Décembre de 8 Accès à pluriweb pour un élève Aperçu de pluriweb après branchement.
Décembre de 9 Accès à pluriweb pour un parent Aperçu de pluriweb après branchement.
1 Sécurité Informatique : Proxy Présenter par : Mounir GRARI.
Administration de SharePoint
Version 2007Administration système Linux Francis Rogard 1 SYSTEME DEXPLOITATION LINUX La ligne de commandes.
BERNARDIN Benoît Lycée Louis Pergaud
Virtual Local Area Network
Cegid WinHôtel Fichier Clients.
Installation & Prise en Main Les Joies de la Simulation Le Cœur : Le Gestionnaire de BDD Le Reporting : Un Puissant outils.
Le gestion des logs Syslog
Module 2 : Préparation de l'analyse des performances du serveur
Module 3 : Analyse des performances du serveur
Module 5 : Publication de ressources dans Active Directory
Le Modele OSI.
Tout savoir sur la synchronisation des mails, contacts et calendrier sur Windows Phone Lire cette présentation en mode plein écran.
EPID-CPI-ISAIP Philippe Bancquart - mise à jour 24/02/ page 1 Gestion des transactions SQLServer.
Vue d'ensemble Configuration d'adresses IP
Utilisation avancée de linux
Module : Technologies des serveurs réseaux : FTP Dynamic Host Configuration Protocol Présenter par : Mounir GRARI.
Partage connexion Internet sous XP Familial pour un réseau WIFI.
Comparaison entre RIP et OSPF en utilisant OPNET
Création et présentation d’un tableau avec Word 2007
Date : Juillet 2014 Formation : TAI Formateur : Tayeb BENDJELTI
Gestion des fichiers et dossiers
Votre espace Web Entreprises Article 39 Démonstration.
Pourquoi est-il nécessaire d'installer de nouveaux logiciels sur votre ordinateur ? J'exclus de cette présentation l'installation de nouveaux matériels.
Module Routage Où dois-je envoyer ce paquet ???
Expose sur « logiciel teamviewer »
Master 1 ère année Sécurité des Systèmes Informatique 1 Gestion de modules  Un module est un morceau de code qui peut être chargé à la volée dans le noyau.
TICE 2 ième Semestre TD6 - Récapitulatif. Mars 2006TICE 2ième Semestre - Révisions2 Evaluation La semaine prochaine Deux demi groupes, minutes d’examen.
Supervision à distance d’une ligne de conditionnement temps réel 16/12/20101INSA de LYON - H4201.
Modules d'authentification enfichables (P.A.M.)
Gestion des correspondants
En route vers le déploiement . . .
SNMP Simple Network Management Protocol
Fonctionnalité et protocole des couches applicatives
LE COURRIER ELECTRONIQUE
Vous présente en quelques réalisations un réel savoir-faire, le fruit de longues années d’expériences, aujourd’hui à votre service. Toutes les fonctionnalités.
Chapitre 12 Surveillance des ressources et des performances Module S41.
INSIA SRT 3 SYSLOG. Le protocol ● En tant que protocole, Syslog se compose d'une partie cliente et d'une partie serveur ● La partie cliente émet les informations.
Transcription de la présentation:

La journalisation syslog Master 1 ère année Sécurité des Systèmes Informatique La journalisation syslog syslogd est un service (ou daemon) qui journalise les événements du système Refus de connexion par su Arrêt, redémarrage Problème réseau L'enregistrement des événements systèmes est géré par deux programmes : klogd et syslogd Utilise le fichier de configuration /etc/syslog.conf Attention! Tous les programmes tournant sur votre machine n'utilisent pas syslog.

Le fichier /etc/syslog.conf Master 1 ère année Sécurité des Systèmes Informatique Le fichier /etc/syslog.conf # Log tous les messages du noyau vers la console. # En plus, les messages sont envoyés vers le fichier /var/log/kernel kern.*                                   /dev/console kern.*                                   /var/log/kernel  # Log tous les messages dans le fichier messages à partir du niveau info  # (il ne manque donc que debug par rapport au tableau précédent) # Sauf les messages du mail, que l'on place dans un autre fichier et les messages authpriv *.info;mail.none;authpriv.none          /var/log/messages # Placer ici les messages que seul l'administrateur a le droit de voir.  # authpriv donne les connexions infructueuses, les connexions avec la commande su. authpriv.*                               /var/log/secure # Log tous les messages de mail et les place dans le fichier maillog.. mail.*                                   /var/log/maillog # Log tous les messages d'urgence rendant le système instable dans tous les fichiers. *.emerg                                  * # Log les messages uucp et news dans un fichier spécial uucp,news.crit                            /var/log/spooler Critère (catégorie.gravité) Destination

Critère entité.gravité Master 1 ère année Sécurité des Systèmes Informatique Critère entité.gravité kernel (kern) correspondant au noyau système. user 1 correspondant au processus ne faisant pas partie de kernel. mail 2 correspondant au mécanisme du courrier. daemon 3 correspondant aux démons systèmes. auth 4 correspondant à l'authentification. syslog 5 correspondant à Syslog lui-même. lpr 6 correspondant aux processus d'impression. news 7 correspondant aux serveurs de news. uucp 8 correspondant aux programmes fondés sur UUCP. cron 9 correspondant à Cron lui-même. authpriv 10 correspondant à AUTH, mais n'étant pas destinés à être publics ftp 11 correspondant au FTP (serveur et client). ntp 12 correspondant aux applications NTP. local[0-7] 16 à 23 réservé pour des usages propres L’entité permet de préciser le type des messages. Les entités 13, 14 et 15 sont très peu utilisées.

Critère entité.gravité Master 1 ère année Sécurité des Systèmes Informatique Critère entité.gravité 7 debug Messages de debogage 6 info Messages d'information 5 notice Messages un peu plus importants que les messages info 4 Warning ou warn Messages d'avertissement 3 err Messages d'erreur 2 crit Situation critique 1 alert Situation critique nécessitant une intervention immédiate emerg ou panic Système inutilisable La liste de gravité, classée de la  moins grave à la plus grave. Tous les messages de sévérité plus graves sont inclus, ainsi si vous choisissez sévérité err, vous avez aussi les messages crit, alert, et emerg.

Sécurité des Systèmes Informatique Master 1 ère année Sécurité des Systèmes Informatique Destination Les actions peuvent être de plusieurs types: Envoie dans un fichier / Envoie vers le syslog d'une autre machine @ Envoie dans un tube nommé (pour le débogage) | Envoie vers un terminal ou une console (/dev/console) Liste d'utilisateurs

Sécurité des Systèmes Informatique Master 1 ère année Sécurité des Systèmes Informatique Quelques exemples kern.* /var/adm/kernel kern.crit @finlandia kern.crit /dev/console kern.info;kern.!err /var/adm/kernel-info Tous les messages noyau sont enregistrés dans /var/adm/kernel Les messages de niveau critique sont envoyés vers finlandia Ils sont également écrits sur la console Tous les messages noyau du niveau info jusqu'à warning inclus (ceux supérieur à err sont exclus) sont logés *.=info;*.=notice;mail.none /var/log/messages Tous les messages de niveau info et de niveau notice sont envoyés vers /var/log/messages sauf ceux utilisant le service de courrier

Sécurité des Systèmes Informatique Master 1 ère année Sécurité des Systèmes Informatique Astuce Fonction log ajoutée dans un service log() { tail –30 /var/log/$NOM_DU_SERVICE.log } La commande ci-dessous affiche les dernières lignes du fichier log correspondant au service console service $NOM_DU_SERVICE log

Sécurité des Systèmes Informatique Master 1 ère année Sécurité des Systèmes Informatique A savoir Récupérer les log d’un routeur local7.debug /var/log/network.log La règle pour connaître l’entité utilisée est: valeur = 8 * entité + gravité Ce qui donne une série de valeur allant de 0 ( 8 x kernel + emerg ) à 191 ( 8 x local7 + debug ).

Sécurité des Systèmes Informatique Master 1 ère année Sécurité des Systèmes Informatique Outil logwatch logwatch programme écrit en Perl analyse les logs du système et envoie un courriel à l'administrateur avec un résumé très bien structuré avec plus ou moins de détails selon vos préférences Analyser les logs du système est une tâche difficile Peu d’administrateurs prennent la peine de le faire, avec logwatch, c’est un courriel qui se lis en peu de temps

Sécurité des Systèmes Informatique Master 1 ère année Sécurité des Systèmes Informatique Outil ksystemlog Ksystemlog est un outil graphique de visualisation des logs

Sécurité des Systèmes Informatique Master 1 ère année Sécurité des Systèmes Informatique Outil logrotate logrotate est conçu pour faciliter l'administration des systèmes qui génèrent un grand nombre de journaux. Il automatise la permutation, la compression, la suppression et l'envoi des journaux. Chaque journal peut être traité Quotidiennement, Hebdomadairement, Mensuellement ou quand il devient trop volumineux

Sécurité des Systèmes Informatique Master 1 ère année Sécurité des Systèmes Informatique syslog-ng syslog-ng essaye de rajouter les manques de syslogd : Une configuration puissante Un tri des messages par leur contenu La portabilité Une meilleure redirection des messages sur le réseau La possibilité de le mettre en cage (chroot) UDP et TCP utilisés pour le transport des journaux Chiffrer et authentifier le trafic réseau Compresser les journaux

Sécurité des Systèmes Informatique Master 1 ère année Sécurité des Systèmes Informatique syslog-ng Dans Syslog-ng le chemin des messages (ou la route des messages) consiste en une ou plusieurs sources, une ou plusieures règles de filtrage et une ou plusieures destinations (trappes). Un message rentre dans syslog-ng par l'une de ses sources, si ce message correspond au règles de filtrages, il part alors vers l'une des destinations. Source Destination Filtre

Configuration de syslog-ng Master 1 ère année Sécurité des Systèmes Informatique Configuration de syslog-ng Les sources, les destinations et les filtres sont liés ensemble grâce à la commande suivante : log{ source s1;source s2; ... filter f1; filter f2; ... destination d1; destination d2; ... }; Les messages peuvent provenir de n'importe laquelle des sources, et doivent passer tous les filtres énumérés (ce qui équivaut à un ET) pour être envoyés vers toutes les destinations. Exemple source s_network { udp( port(514)); }; filter f_lan3 { netmask("192.168.1.3/255.255.248.0"); }; destination d_lan3 { file("/var/log/lan3.log"); }; log { source(s_network); filter(f_lan3); destination(d_lan3); };

Sécurité des Systèmes Informatique Master 1 ère année Sécurité des Systèmes Informatique syslog-ng