Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Sauvegarder les logs

    Scheduled Pinned Locked Moved Français
    36 Posts 4 Posters 11.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      A7X
      last edited by

      D'accord, j'avais compris que c'était bien de squid qu'il était question et ce qu'il affichait comme logs, ce que je n'arrivait pas à visualiser c'était comment le mettre en place mais ça commence à venir, je vais faire des recherches sur ce sujet maintenant que j'ai plus d'infos.
      merci pour vos réponses

      1 Reply Last reply Reply Quote 0
      • E
        ercflmnt
        last edited by

        Bonjour AX7

        pour le syslog, une machine autre que pfsense est a utiliser.

        personnellement j'utilise un smeserver pour le faire

        sme est en mode serveur only

        sur pfense dans le syslog j'envoie tout vers le serveur de log

        dans le sme serveur j'ai  1 utilisateur qui archive les données du "message" ( syslog  ) du sme
        journaliérement

        il faut une tache cron pour effacer automatiquement les archives de plus de 750 jours ,
        la legislation ne permet pas un archivage de plus de 2 ans.

        il ne faut pas oublier de backuper le syslog ( en cas de panne)

        eric

        1 Reply Last reply Reply Quote 0
        • A
          A7X
          last edited by

          D'accord mais l'idéal serait d'enregistrer les logs sur ubuntu

          1 Reply Last reply Reply Quote 0
          • J
            jdh
            last edited by

            Sur l'autre fil j'ai donné un lien pour installer LogAnalyzer pour Debian …
            Ca devrait pas être diffcile pour Ubuntu !

            (Installer SME pour recueillir des syslog sans qu'il y ait une appli spécifique, c'est juste pas adapté.)

            Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

            1 Reply Last reply Reply Quote 0
            • A
              A7X
              last edited by

              ok jvais regarder ça

              1 Reply Last reply Reply Quote 0
              • A
                A7X
                last edited by

                Bonjour,

                juste une petite question j'ai bien noté le fait que le firewall n'est pas fait pour sauvegarder les logs. Mais quand je vais dire dire à mon maitre de stage il va me demander pourquoi.

                pouvez vous m'expliquer pourquoi il ne faut pas sauvegarder les logs sur le firewall ?

                Merci

                1 Reply Last reply Reply Quote 0
                • J
                  jdh
                  last edited by

                  Le firewall n'est pas fait pour sauvegarder AUCUN log !

                  Ca semble évident.

                  Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                  1 Reply Last reply Reply Quote 0
                  • C
                    ccnet
                    last edited by

                    Je vais essayer d'être un peu didactique, même si cela semble aussi à mon sens assez évident.
                    Partons de questions simples que je vous pose. Pourquoi sauvegarde t on des logs ?
                    Quelles sont les conséquences techniques, organisationnelles ?

                    1 Reply Last reply Reply Quote 0
                    • A
                      A7X
                      last edited by

                      On sauvegarde les logs pour garder une trace des connexions en cas de problème, au niveau de la loi on doit garder une trace des logs pendant une durée minimale d'un an.

                      Oui je pense avoir compris qu'il n'est pas fais pour ça, seulement il va surement me demander pourquoi ? Je suis bien conscient que ce n'est pas son rôle premier mais pourquoi ne pourrait-t-il pas les garder

                      1 Reply Last reply Reply Quote 0
                      • C
                        ccnet
                        last edited by

                        Je suis d'accord sur la réponse. Qu'est ce que cela va impliquer ? Un indice : "une trace des connexions en cas de problème".
                        Pensez plus généralement sur cette question des logs.

                        1 Reply Last reply Reply Quote 0
                        • A
                          A7X
                          last edited by

                          Et bien je pense que c'est une sécurité pour l'entreprise déja parce que si elle ne sauvegarde pas ces logs l'entreprise est en infraction au niveau de la loi et que si un utilisateur visite un site pas recommandable (exemple : drogue, explosifs etc…) une enquête judiciaire peut avoir lieu et l'entreprise doit pouvoir fournir ces logs afin de savoir qui c'est connecter tel jour à tel heure.

                          1 Reply Last reply Reply Quote 0
                          • J
                            jdh
                            last edited by

                            Il y a (au moins) 2 raisons parfaitement évidentes (si on réfléchit 2 minutes) :

                            • les logs (syslog) NE DOIVENT PAS rester car en cas de compromission ou en cas d'arrêt, les logs deviennent non valables ou inaccessibles !
                            • un firewall traite des paquets et n'est pas une machine de stockage.
                              (Notez que je ne parle pas des logs de proxy puisque le proxy ne se place pas sur le firewall !)

                            Il faut juste prendre 2 minutes de recul (… comme l'indique parfaitement les questions de ccnet).

                            Puisque j'ai indiqué qu'il y a plusieurs type de logs, merci de préciser à chaque fois, de quel logs vous parlez !
                            Visiblement, il FAUT ajouter de la précision dans vos propos : vous gagnerez en efficacité parce que vous serez plus précis.

                            Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                            1 Reply Last reply Reply Quote 0
                            • C
                              ccnet
                              last edited by

                              @A7X:

                              Et bien je pense que c'est une sécurité pour l'entreprise déja parce que si elle ne sauvegarde pas ces logs l'entreprise est en infraction au niveau de la loi et que si un utilisateur visite un site pas recommandable (exemple : drogue, explosifs etc…) une enquête judiciaire peut avoir lieu et l'entreprise doit pouvoir fournir ces logs afin de savoir qui c'est connecter tel jour à tel heure.

                              Oui ok pour l'aspect juridique, mais pas seulement. Il faut aller au bout des conséquences.

                              1 Reply Last reply Reply Quote 0
                              • A
                                A7X
                                last edited by

                                Je parle des logs d'authentification donc des logs squid si j'ai tout bien compris.

                                1 Reply Last reply Reply Quote 0
                                • C
                                  ccnet
                                  last edited by

                                  Ok on sauvegarde les logs pour répondre à des obligations juridiques et, ou réglementaires. C'est dit.
                                  On le fait aussi pour des raisons d'exploitation et de sécurité. Lors de l'apparition d'un dysfonctionnement on a très souvent besoin des logs pour comprendre ce qui se passe. Ici les critères impactés en terme de sécurité sont potentiellement le disponibilité, l'intégrité, voire la traçabilité.
                                  Autres raisons de sécurité : pour certains réseaux on utilise des outils de corrélation et d'analyse de logs pour détecter des anomalies, des trafics ou des comportements suspects ou dangereux.
                                  On a donc besoin d'accéder (applications, utilisateurs) aux logs. On a besoin de rechercher dans les logs, de les extraire, etc  ….
                                  Vous comprendrez dès lors que pour la sécurité d'un équipement sensible comme le firewall il soit hors de question de faire toutes ces opérations sur notre précieux firewall. De plus les personnes habilités à exploiter des logs ne le sont pas nécessairement à accéder au firewall. Du moins c'est préférable.
                                  Avec nos deux réponses il me semble que vous avez quelques arguments et éléments de compréhension du pourquoi. Comme vous le voyez ce n'est pas une question de principe mais de sécurité.

                                  1 Reply Last reply Reply Quote 0
                                  • A
                                    A7X
                                    last edited by

                                    Très bien je vous remercie pour ces explications =)

                                    1 Reply Last reply Reply Quote 0
                                    • First post
                                      Last post
                                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.