La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Centralisation de logs

Présentations similaires


Présentation au sujet: "Centralisation de logs"— Transcription de la présentation:

1 Centralisation de logs
01/02/2016

2 1 2 3 4 SOMMAIRE Conclusion La suite ... Solutions étudiées
Introduction Solutions étudiées Conclusion La suite ... 1 2 3 4

3 1 Introduction

4 Introduction La centralisation des logs consiste à mettre sur un même système, une même plateforme, l’ensemble des logs des systèmes, applications et services des machines environnantes. On reprend alors le principe de la supervision, dont la surveillance des logs doit être une branche, qui consiste à centraliser les éléments de surveillance sur une plate-forme unique. On appellera cela un point unique de communication, ou point unique de contact (Single Point Of Contact – SPOC) pour l’analyse des logs. La centralisation de l’information permettra ici de mener plusieurs opérations qui iront toutes dans le sens de la sécurité et de la meilleure gestion du système d’information. Pourquoi la centralisation des logs ? Avoir une vue d’ensemble des équipements d’un SI pour y mener des traitements tels que : Recherche / Statistique Détection d’intrusion Diagnostiquer un crash …

5 Introduction Pour mener à bien ce projet, une recherche a été effectuée sur les logiciels et outils gratuits permettant de parvenir à une centralisation des logs optimale. Plusieurs caractéristiques ont été prises en compte pour choisir les meilleurs logiciels (prise en main, représentations graphiques disponibles, alertes , nombre de logs maximal à prendre en compte …) Après ces études, trois outils ont été retenu : Kibana, pour son aptitude à produire une grande diversité de graphiques, de tableau et même une géolocalisation Graylog, de par sa possibilité d’envoyer des alertes par mail. Splunk, pour son utilisation assez simple avec une bonne documentation sur internet en français qui plus est (mais limité à 500 Mo de log indexés par jour).

6 2 Solutions étudiées

7 Solutions étudiées Graylog

8 Solution étudiées Interface de recherche

9 Solution étudiées Exemple de tableau de bord

10 Solutions étudiées Configuration des alertes :

11 Solutions etudiées

12 Solutions étudiées Interface de recherche

13 Solutions étudiées Exemple de tableau de bord

14 Solutions étudiées Création des widgets

15 Solutions étudiées Création des widgets

16 Solutions étudiées Splunk

17 Solutions étudiées Architecture
Splunk est compatible avec tous les systèmes d’exploitation tant au niveau client que serveur.

18 Solutions étudiées Première étape: configration d’ entrées de données.
Cliquer sur l’icône ≡ en haut à gauche de l’écran  puis > entrées de données. On a ensuite accès à ensuite plusieurs types d’inputs comme des entrées locales : Fichiers & répertoires Collecteur d'événements HTTP TCP UDP Scripts Après avoir configuré nos sources, on peut se rendre dans la rubrique recherche pour les retrouver: Et ainsi et effecter des recherches sur la liste des logs : Ou des entrées transmises : Logs d'événements Windows Fichiers & répertoires Surveillance des performances Windows TCP UDP Scripts

19 Solutions étudiées Interface de recherche

20 Solutions étudiées Création d’un tableau de bord

21 Solutions étudiées

22 Solution étudiées La liste de tous les logs qui
Rempliront la condition de la Recherche sera donc visible dans Le tableau de bord choisi.

23 Solutions étudiées Visualisations disponibles

24 Solutions étudiées

25 Solutions étudiées Rapports

26 3 Conclusion

27 Conclusion Après l’étude des différentes solutions, nous pouvons en conclure que Splunk est le meilleur outil gratuit permettant l’analyse de log si la limite des 500 Mo n’est pas dépassée. Grâce à son installation très facile, son excellente prise en main et la diversité de visualisations disponibles, Splunk se place devant Kibana et Graylog car il réunit les points forts de ces deux outils. Classement : 1. 2. 3.

28 4 La suite

29 La suite… Ossec (HIDS) Ossec est un détecteur d’intrusion qui grâce à la lecture de logs peut détecter une anomalie, une attaque et agir en conséquence automatiquement en alertant par mail , bloquant une adresse ip, un utilisateur.

30 La suite… Ossec (HIDS) Interface web Ossec web-ui

31 La suite … Ossec (HIDS) Règles :
Disponibles dans un dossier rules/ et au format.xml, elles permettent de déclencher une alerte quand les conditions de la règle ont été remplie. Exemple : Si le système détecte plus de 6 nouvelles connexions avec la même adresse IP dans un laps de temps inférieure à 60 secondes alors il déclenche une alerte de niveau 10. Ossec voit qu'une alerte de niveau 10 a été créée, l'active response se met donc en marche en dropant l'adresse ip à l'origine de la connexion. Actions (actives-responses) : Ossec peut disposer de plusieurs script qui peuvent être exécutés lorsqu’ une alerte est déclenchée : En bloquant une adresse ip : En envoyant un mail (ossec.conf) : On peut bien sûr paramétrer et personnaliser les alertes et actives-responses en fonction des besoins de l’utilisateurs et du SI.


Télécharger ppt "Centralisation de logs"

Présentations similaires


Annonces Google