Bonjour à tous.
 
Je dispose d'un réseau constitué d'une vingtaine de serveurs.
Je suis à la recherche d'une solution pour centraliser les logs de différents serveurs sur un serveur de logs pour ensuite les analyser.
 
J'ai déjà réussi à centraliser les logs grâce à syslog-ng.
Mon problème maintenant est l'analyse. J'aimerais pouvoir récupérer les informations suivantes :
   - les erreurs critiques des différents services.
   - qui se connecte et sur quel machine ? ( logs SAMBA, LDAP, ... )
   - détecter les attaques de type bruteforcing ssh.
   - observer les authentifications root.
   - ...
 
Une fois les informations triées, un mail sera envoyé à l'admin avec le résumé des problèmes.
 
Ma question est de savoir si vous connaissez des softs ou des méthodes appropriés.

ca m'interesse ossi

up !

le plus simple c'est un serveur FTP  
un script qui recupere les logs et les place dans une arborescence  
lancé par la crontab toutes les nuits par exemple.
 
sinon plus propre  
c'est pareil mais avec un fichier de rapport généré par le script plustot que juste archiver les logs.

Je suis en train de me faire un script pour les attaques ssh, je suis pas un pro du bash script et il doit y avoir mieux mais bon si ça interesse :
http://ogm2000.free.fr/abuse.sh

Ok, merci pour les infos et pour le script.
Connaissez-vous des moyens pour analyser les logs, parseurs de logs ou autre?

n'importe quel IDS devrais savoir faire non?

logcheck sur debian.

Je vais voir ce que donne logcheck et essayer aussi de voir les fonctions d'un IDS.
Si vous avez d'autres idées n'hésitez pas à les donner.

 
Très pratique. Ca fait de la lecture pour accompagner le café tous les matins

Bonjour,
 
Tu peux regarder du projet suivant : Syslog-analyzer
 
Il est possible de développer ses propres templates pour tout ce qui est pas encore gérer.