Bon, les logs c'est toujours la même rengaine... les consulter, les exploiter, en tirer des statistiques ... Ik, mais tout ca c'est mis en face de logs qui sont de plus en plus lourds, verbeux, aux formatages spécifiques à leur usage, bref .... IT'S A JUNGLE OUT THERE !

Il existe des solutions pour faciliter le travail ....

  • Graylog2
  • Logstash
  • Elastic Search et Kibana

Pour ces trois la, je n'ai fait que rayer la peinture, mais Graylog2 est très gourmand au ressource, même si il semble effectivement très potent sur la gestion des logs. Il faut quand même tout définir :

  • grokker
  • alertes
  • parsers

tout un travail qui demande temps et connaissance.

Pour ElasticSearch et Kibana, c'est un duo assez sympa, mais si on découpe le bouzin, on sait bien que :

  • ElasticSearch est un logiciel de stokage de données avec requêtes avancées.
  • Kibana est un logiciel de visualisation pouvant utiliser ElasticSearch comme source de données

Et si on veut faire faire ce ces briques un SIEM, il faut au moins y ajouter Logstash, qu'il faudra parametrer pour :

  • recevoir les logs de sources rsyslog (ou autres, comme filebeat)
  • mettre en place les analyses syntaxiques qui permettrons de qualifier les logs avant injection dans Elastic

Beaucoup beaucoup de choses à faire dans les deux cas donc.

Perso j'ai écrit mon propre rôle d'installation ELK via ansible, et c'est un bon début, mais de la à en tirer une solutions statistiques de consultation qui permettent de corréler les attaques sur serveurs ... c'est toujours pas fait !