Le 11 mai 2017 à 11:45, Jean-Michel OLTRA <jm.ol...@espinasse.net> a écrit :
> > Bonjour, > > > Le mercredi 10 mai 2017, Olivier a écrit... > > > > Pour satisfaire à des obligations légales, j'ai pour mission de logguer > des > > connexions sortantes NATées. > > > L'installation est la suivante: > > Machine distante <--Internet--> Routeur Debian <-- Réseau local --> PC > (IP > > privée) > > > Comment logguer ces informations ? > > Que conseillez-vous notamment pour réduire la masse potentielle > > d'informations à conserver ? > > Pour quelque chose de similaire, des routeurs Wifi sous base OpenWRT, je > loggue les paquets en PREROUTING qui ont le bit syn mis (--syn) (mais > uniquement, pour nos besoins, sur les ports 80 et 443). Le syslog du > routeur > envoie sur le syslog d'un serveur Debian, qui enregistre les logs du > routeur > dans un fichier dédié. Après rotation des logs, j'ai un analyseur maison > qui > enregistre le port de destination, l'ip de destination, les adresses mac > source et entrée routeur (on a plusieurs routeurs). Une tâche ultérieure > fait la résolution de nom sur l'ip de destination et complète la donnée. > Les > enregistrements sont stockés dans une base Postgresql. Au cours de > l'analyse > un filtre saute les enregistrements identiques qui sont distants de moins > de > N secondes (N=1 pour l'instant). > > -- > jm > > Pour poursuivre dans le même sens, j'avais imaginé l'arsenal Filebeat, Elasticsearch, Logstash, Kibana pour centraliser les logs et faciliter leur analyse sur un serveur central. Filebeat est-il compatible avec OpenWRT ? Je ne sais pas mais une fonction intéressante de Filebeat est théoriquement, sa capacité à limiter sa propre bande passante et à survivre à des pertes de connexion. Filebeat lui-même ne semble pas exiger des ressources importantes.
