Et avec SELKS ? Je l'avais configuré (la v2 depuis y'a la v3) en mode routeur via iptables et ça donnait pas mal d'info.
Nicolas Girardi. > Le 22 déc. 2016 à 18:10, Christophe Dezé <christophed...@wanadoo.fr> a écrit : > > j'ai oublié de dire que j'avais aussi regardé du coté de suricata/snort mais > je n'ai pas réussi à faire ce que je voulais avec ... > > >> Le 22/12/2016 à 16:50, Christophe Dezé a écrit : >> bonjour, >> >> Le problème de logguer au niveau 3 c'est que l'on n'a pas les vrais url >> interrogés. >> >> En fait, le fond de mon problème n'est pas le proxy en soit, ca marche trés >> bien sur des postes managés. >> >> le soucis arrive sur du BYOD, on ne peut pas les forcer à mettre une CA sur >> les smartphones, tablettes. et en plus WPAD ca marche pas bien sur android. >> >> donc pas evident de trouver une solution open source qui loggue comme un >> proxy (meme sans la partie cache, filtrage, ...), sur des postes non managés >> ... >> >> >> >>> Le 22/12/2016 à 13:43, Mrjk a écrit : >>> Yop, >>> >>> Alors, oui, tout depends de ce que sait faire ton routeur. Partons sur >>> le principe qu'il s'agisse d'une box Linux pas trop castrée (genre au >>> moins un OpenWRT). >>> >>> A ce moment là, tu a plusieurs approches: >>> - Soit tu loggue au niveau 2/3, les connexion TCP et le NAT qui va >>> derrière. Cependant, j'ai aucune idée de savoir comment il faut faire >>> pour ne pas laisser echapper des connexion. Il se trouve qu'iptables >>> permette de logguer les requetes. J'irai voir de ce coté là. Par >>> contre, j'ai peur que tu y perde pas mal coté perfs. Par ailleurs, >>> c'est des logs de bas niveau, donc ca va pas etre super interressant. >>> - Soit tu met un proxy HTTP/HTTPS transparent qui va faire ça tout >>> bien comme il faut, et tu devrais pouvoir obtenir des logs avec un >>> format du type apache2. Ca prends un HaProxy, mais tu dois egalement >>> pouvoir utiliser Privoxy, ou encore Varnish (varnish peut etre cool, >>> mais faut une box 64bits, et c'est pas l'usage premier de varnish) >>> >>> Je pense que mon premier point réponds plus à ta question, mais j'ai >>> peur que ca soit pas super efficace. >>> >>> -- >>> MrJK >>> GPG: https://jeznet.org/jez.asc >>> >>> >>> Le 22 décembre 2016 à 12:17, Christophe Dezé >>> <christophed...@wanadoo.fr> a écrit : >>>> oui ca serait un serveur linux debian. >>>> >>>> rsyslog ne capture pas le traffic reseau. >>>> >>>> >>>>> Le 22/12/2016 à 09:38, Xavier ROCA a écrit : >>>>> Bonjour, >>>>> >>>>> Tout va dépendre de ton routeur, de ses capacités et de se que l'on veut >>>>> dans la trace. >>>>> Routeur linux, c'est quoi ? >>>>> Un PC qui fait office de routeur ? >>>>> >>>>> Un système de log (R)syslog pourrait faire l'affaire tout dépend de ton >>>>> besoin final sur la trace conserver. >>>>> >>>>> Une solution brutale capture permanente total du trafic avec post >>>>> traitement et purge régulière. >>>>> >>>>> >>>>> Xavier >>>>> >>>>> >>>>> -----Message d'origine----- >>>>> De : Christophe Dezé [mailto:christophed...@wanadoo.fr] >>>>> Envoyé : mercredi 21 décembre 2016 22:41 >>>>> À : 'frsag@frsag.org' >>>>> Objet : [FRsAG] journalisation des accès http/https sans proxy >>>>> >>>>> bonjour, >>>>> >>>>> Quelles solutions connaissez vous pour journaliser les accès aux sites web >>>>> au travers d'un routeur sans utiliser de proxy (type squid) ? >>>>> >>>>> typiquement un routeur linux avec plusieurs cartes réseaux. >>>>> >>>>> merci >>>>> >>>>> _______________________________________________ >>>>> Liste de diffusion du FRsAG >>>>> http://www.frsag.org/ >>>>> >>>>> >>>>> >>>>> >>>> _______________________________________________ >>>> Liste de diffusion du FRsAG >>>> http://www.frsag.org/ >> >> _______________________________________________ >> Liste de diffusion du FRsAG >> http://www.frsag.org/ > > _______________________________________________ > Liste de diffusion du FRsAG > http://www.frsag.org/ _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
