Sauvegarder les logs
-
Mes recherches ont été faite tout l'après midi hier et ce matin donc oui effectivement j'ai fais des recherches. donc dans les 20 minutes entre les deux posts j'ai pas fait de recherches. mais sinon juste me dire que
Vous pouvez regarder une solution comme graylog2. Il y a une procédure d'installation documentée. La solution est plus performante qu'un syslog de base pour exploiter les logs de multiples systèmes.
Une dernière chose : toutes les applis ne produisent pas des logs dans le même format, typiquement Squid qui est spécifique.cela me suffisait pas la peine de rajoutez que vous savez faire une recherche et d'insinuer que je ne sais pas en faire.
Alors ok effectivement je peux apprendre en lisant des docs et étant encore étudiant je sais qu'on peut aussi apprendre en demandant car au moins si on a des questions supplémentaires on peut demander alors qu'un document ni répondra peut etre pas.
-
mon maître de stage m'as demander de sauvegarder les logs des utilisateurs (savoir sur quels sites ils vont)
Si vous aviez parcouru SEULEMENT ce forum, vous auriez surement observé que la MÊME question est posé dans un autre fil de cette MÊME semaine !
On peut dire que vous n'avez pas vraiment cherché ou que l'efficacité de votre recherche est assez faible !Je vais donc répéter : il y a 2 types de logs
- les logs type syslog
- les logs type Squid
Question : quel type de logs demandés par votre maitre de stage ?
Il est parfaitement clair que
- il est judicieux de créer un serveur (interne) centralisateur de log (syslog) et de configurer le firewall (et tous les serveurs souhaitables) pour envoyer vers ce serveur centralisateur.
- il n'est pas du tout judicieux de placer un Squid sur un firewall.
Concernant syslog, pfSense n'est pas conçu pour porter un serveur syslog : ce serait même un total non sens d'en mettre un !
NB : Le parcours du forum aurait évité de monter dans les tours inutilement …
-
Des utilisteurs vont ce connecter sur mon portail captif je veux sauvegarder les logs de ces utilisateurs pour savoir si monsieur X va sur le site facebook par exemple. je l'ai dit dans mon premier post.
-
Cela nous l'avons compris. Donc Graylog2, Splunk sont des solutions possibles. JDH en a donné une autre.
pour savoir si monsieur X va sur le site facebook par exemple
Ce point nécessite une remarque. Vous n'avez pas le droit de regarder ce que Monsieur X fait avec la connexion que vous mettez à sa disposition. Les éléments juridiques, les lois qui s'appliquent, sont indiqués dans ce fil.
https://forum.pfsense.org/index.php/topic,71206.0.htmlCompte tenu des obligations légales le portail captif ne répondra pas aux besoins. Il vous faut aussi un proxy. La loi dispose que vous devez conserver les logs pendant une année. Mais vous n'avez pas le droit de les consulter pour ce qui est des données nominatives. Vous pouvez faire des statistiques. Par exemple Monsieur X a échangé tel volume de données, mais pas consulter la liste des sites visités par Monsieur X. Enfin pour être conforme d'un point de vue juridique les utilisateurs doivent être informés de l'existence de l'enregistrement de leur activité sur internet. Très peu de gens et d'entreprises sont correctement informés sur les dispositions légales qui s'appliquent. Ce domaine est mal connuu mais fait aussi partie des questions sécurité du SI.
-
Graylog2 m'as l'air bien je vais essayer cela. oui voila il faut conserver les logs pas les consulter je me suis mal exprimer.
Encore une question : ou doit être mis le proxy et quel rôle va-t-il jouer ?
Merci pour vos réponses et excusez moi de m’être emporter
-
Alors, répondez d'abord à la question : de quel type de log s'agit-il ? autrement dit, est ce syslog ou Squid ?
En fait, si la réponse ne vous est pas immédiate, c'est que vous ne comprenez pas comment fonctionne un portail captif.
Commencez par lire Wikipedia : http://en.wikipedia.org/wiki/Captive_portal (en particulier les "Limitations")
(Ne négligez pas et commencez toujours par Wikipedia : c'est simple, c'est intéressant, et souvent assez complet pour une première approche !)NB : ccnet qui a posté avant moi donne le début de la réponse …
-
@A7X:
Encore une question : ou doit être mis le proxy et quel rôle va-t-il jouer ?
Basiquement on peut dire cela du fonctionnement cible.
1. Le portail captif permet de contrôler l'accès au réseau Wifi. C'est à dire que je m'assure au moyen d'une authentification que seul les utilisateurs à qui j'en donne le droit utilise ma connectivité à internet.
2. Ensuite, si l'utilisateur est autorisé, le proxy permet :
L'enregistrement et le stockage des logs d'accès, conformément à la loi.
Le filtrage éventuel des contenus du web, malware, virus, etc … http://squidclamav.darold.net/
Le contrôle des sites accessibles ou non sur la base de blacklists par exemple http://www.squidguard.org/
Les blacklists sont téléchargeables de façon automatisée : http://dsi.ut-capitole.fr/blacklists/Typiquement le proxy est protégé (puisque qu'il contient des informations qui doivent être protégées) dans une dmz. Si c'est sensible on utilise un réseau d'administration distinct pour accéder à l'interface de gestion du proxy. Chez certains de mes clients toutes les interfaces d’administration des systèmes sont dans un réseau dédié avec des accès limités.
-
Bonjour,
et bien si j'ai bien compris ce sont des logs de types syslog.
D'accord pour le proxy mais la blacklist est géré par mon pare-feu en principe. j'en ai parler à l'informaticien qui est avec moi et il ne comprend pas pourquoi il faut mettre un proxy puisque ce qu'on me demande c'est juste d'envoyer les logs vers un serveur afin que ces logs puissent être sauvegarder. -
Et non !
Vous n'avez pas compris comment ça fonctionne (… ce qu'on soupçonnait !)Le portail captif ne sert qu'à ouvrir, après authentififcation, la traversée du firewall. Point barre.
Il est sans doute possible de trouver dans sylog l'autorisation (identifiant -> @ip).Une fois, la traversée autorisée, il faut passer au travers d'un proxy (Squid) pour voir les url cherchées.
On trouvera donc dans les logs Squid, les url cherchées par @ip (et non identifiant).
(Et SEUL Squid est capable de reconnaitre l'url !!!)Il n'est donc pas simple d'associer des url à un identifiant du portail captif ...
-
Donc on reprend voici ce que donne mon schéma actuel dans un premier temps, mon utilisateur s'identifie et peut accéder à internet si c'est bon, il traverse donc le portail et le firewall.
Dans un second temps je veux rajouter un serveur connecter à pfsense me permettant de sauvegarder les logs des utilisateurs (comme vous l'avez surement déjà compris). Donc ce sont des logs de type squid (est-ce bien cela ?) que je dois sauvegarder sur le serveur de logs. Etant un peu perdu dans toutes ces infos :
Que dois-je installer sur mon serveur afin que pfsense envoi les logs sur ce serveur pour que les logs soient sauvegarder et ce qui me permettrait de voir ces logs ?
 -
Rapidement je n'ai pas beaucoup de temps ces jours ci. Pour activer les logs distant sur Pfsense :
Click Status > System Logs
Click the Settings tab
Check Enable syslog'ing to remote syslog server
Type the IP of your logging server in the box next to Remote syslog server
Check the boxes for the log entries you would like to forward
Click Save
You should start to see log messages flowing to the target system.Bref RTFM.
Pour le proxy c'est autre chose. Vous l'avez monté sur Pfsense ?
-
ça ok je l'ai fais mais pas le proxy par contre
-
Le proxy :
1 . Il ne devrait pas être sur Pfsense.
2 . C'est un package, donc ce n'est pas Pfsense, donc c'est un autre paramétrage. Je ne savais pas ce que les concepteurs du package avait prévu et j'ai trouvé ceci : https://forum.pfsense.org/index.php?topic=49351.0
Le serveur distant doit être capable de comprendre les logs Squid pour vous les présenter agréablement. De mémoire Splunk le fait, d'autres aussi. -
Ne vous inquiétez pas pour nous (ccnet ou moi) : nous connaissons suffisamment les problématiques générales du sujet !
Ce que vous écrivez (à 9h32 sur le forum) montre que vous n'avez pas (plus) compris ce que j'ai écrit (à 8h40) !
Il faut mettre en place un proxy Squid (et pas sur pfSense) qui sauvegardera les logs et permettra de les visualiser !
pfSense ne vous indiquera (par syslog) que "date, heure, identifiant, @ip"
le proxy Squid stocke des logs "@ip, date, heure, url …" -
D'accord, j'avais compris que c'était bien de squid qu'il était question et ce qu'il affichait comme logs, ce que je n'arrivait pas à visualiser c'était comment le mettre en place mais ça commence à venir, je vais faire des recherches sur ce sujet maintenant que j'ai plus d'infos.
merci pour vos réponses -
Bonjour AX7
pour le syslog, une machine autre que pfsense est a utiliser.
personnellement j'utilise un smeserver pour le faire
sme est en mode serveur only
sur pfense dans le syslog j'envoie tout vers le serveur de log
dans le sme serveur j'ai 1 utilisateur qui archive les données du "message" ( syslog ) du sme
journaliérementil faut une tache cron pour effacer automatiquement les archives de plus de 750 jours ,
la legislation ne permet pas un archivage de plus de 2 ans.il ne faut pas oublier de backuper le syslog ( en cas de panne)
eric
-
D'accord mais l'idéal serait d'enregistrer les logs sur ubuntu
-
Sur l'autre fil j'ai donné un lien pour installer LogAnalyzer pour Debian …
Ca devrait pas être diffcile pour Ubuntu !(Installer SME pour recueillir des syslog sans qu'il y ait une appli spécifique, c'est juste pas adapté.)
-
ok jvais regarder ça
-
Bonjour,
juste une petite question j'ai bien noté le fait que le firewall n'est pas fait pour sauvegarder les logs. Mais quand je vais dire dire à mon maitre de stage il va me demander pourquoi.
pouvez vous m'expliquer pourquoi il ne faut pas sauvegarder les logs sur le firewall ?
Merci