Re: Log des connexions sortantes NATées
Le 11 mai 2017 à 11:45, Jean-Michel OLTRA a écrit : > > Bonjour, > > > Le mercredi 10 mai 2017, Olivier a écrit... > > > > Pour satisfaire à des obligations légales, j'ai pour mission de logguer > des > > connexions sortantes NATées. > > > L'installation est la suivante: > > Machine distante <--Internet--> Routeur Debian <-- Réseau local --> PC > (IP > > privée) > > > Comment logguer ces informations ? > > Que conseillez-vous notamment pour réduire la masse potentielle > > d'informations à conserver ? > > Pour quelque chose de similaire, des routeurs Wifi sous base OpenWRT, je > loggue les paquets en PREROUTING qui ont le bit syn mis (--syn) (mais > uniquement, pour nos besoins, sur les ports 80 et 443). Le syslog du > routeur > envoie sur le syslog d'un serveur Debian, qui enregistre les logs du > routeur > dans un fichier dédié. Après rotation des logs, j'ai un analyseur maison > qui > enregistre le port de destination, l'ip de destination, les adresses mac > source et entrée routeur (on a plusieurs routeurs). Une tâche ultérieure > fait la résolution de nom sur l'ip de destination et complète la donnée. > Les > enregistrements sont stockés dans une base Postgresql. Au cours de > l'analyse > un filtre saute les enregistrements identiques qui sont distants de moins > de > N secondes (N=1 pour l'instant). > > -- > jm > > Pour poursuivre dans le même sens, j'avais imaginé l'arsenal Filebeat, Elasticsearch, Logstash, Kibana pour centraliser les logs et faciliter leur analyse sur un serveur central. Filebeat est-il compatible avec OpenWRT ? Je ne sais pas mais une fonction intéressante de Filebeat est théoriquement, sa capacité à limiter sa propre bande passante et à survivre à des pertes de connexion. Filebeat lui-même ne semble pas exiger des ressources importantes.
Re: Log des connexions sortantes NATées
Bonjour Par pure curiosité technique, combien y a t il d'utilisateurs dans le réseau concerné et quel volume de données transite entre un routeur et le serveur syslog ? Pour avoir utilisé OpenWRT des routeurs grand public (netgear) et trouvé que c'est un peu poussif comme matériel, je me demande aussi quel type de routeur vous utilisez. En tout cas l'infrastructure me parait intéressante et l'exemple excellent pour démontrer l'utilité d'un serveur syslog. Le jeudi 11 mai 2017 à 11:45 +0200, Jean-Michel OLTRA a écrit : > Bonjour, > > > Le mercredi 10 mai 2017, Olivier a écrit... > > > > Pour satisfaire à des obligations légales, j'ai pour mission de > > logguer des > > connexions sortantes NATées. > > L'installation est la suivante: > > Machine distante <--Internet--> Routeur Debian <-- Réseau local --> > > PC (IP > > privée) > > Comment logguer ces informations ? > > Que conseillez-vous notamment pour réduire la masse potentielle > > d'informations à conserver ? > > Pour quelque chose de similaire, des routeurs Wifi sous base OpenWRT, > je > loggue les paquets en PREROUTING qui ont le bit syn mis (--syn) (mais > uniquement, pour nos besoins, sur les ports 80 et 443). Le syslog du > routeur > envoie sur le syslog d'un serveur Debian, qui enregistre les logs du > routeur > dans un fichier dédié. Après rotation des logs, j'ai un analyseur > maison qui > enregistre le port de destination, l'ip de destination, les adresses > mac > source et entrée routeur (on a plusieurs routeurs). Une tâche > ultérieure > fait la résolution de nom sur l'ip de destination et complète la > donnée. Les > enregistrements sont stockés dans une base Postgresql. Au cours de > l'analyse > un filtre saute les enregistrements identiques qui sont distants de > moins de > N secondes (N=1 pour l'instant). >
Re: Log des connexions sortantes NATées
Bonjour, Le mercredi 10 mai 2017, Olivier a écrit... > Pour satisfaire à des obligations légales, j'ai pour mission de logguer des > connexions sortantes NATées. > L'installation est la suivante: > Machine distante <--Internet--> Routeur Debian <-- Réseau local --> PC (IP > privée) > Comment logguer ces informations ? > Que conseillez-vous notamment pour réduire la masse potentielle > d'informations à conserver ? Pour quelque chose de similaire, des routeurs Wifi sous base OpenWRT, je loggue les paquets en PREROUTING qui ont le bit syn mis (--syn) (mais uniquement, pour nos besoins, sur les ports 80 et 443). Le syslog du routeur envoie sur le syslog d'un serveur Debian, qui enregistre les logs du routeur dans un fichier dédié. Après rotation des logs, j'ai un analyseur maison qui enregistre le port de destination, l'ip de destination, les adresses mac source et entrée routeur (on a plusieurs routeurs). Une tâche ultérieure fait la résolution de nom sur l'ip de destination et complète la donnée. Les enregistrements sont stockés dans une base Postgresql. Au cours de l'analyse un filtre saute les enregistrements identiques qui sont distants de moins de N secondes (N=1 pour l'instant). -- jm
Re: Où est passé sux ?
On Wednesday, 10 May 2017 22:38:54 CEST kaliderus wrote: > J'utilisais il y a quelques années sux (package du même nom), mais il > a disparu de jessie, comment se fait-ce ? > C'était bien pratique. > Est-ce qu'il existe un outil de remplacement ou bien ? T'as essayé sudo ? -- https://github.com/dod38fr/ -o- http://search.cpan.org/~ddumont/ http://ddumont.wordpress.com/ -o- irc: dod at irc.debian.org
