Ossec est un détecteur d'intrusion du type HIDS (Host-based Intrusion Detection System). Il est l'un des HIDS des plus utilisés, très facile d'accès tant pour l'installation que pour l'utilisation.

Url du site officiel : http://www.ossec.net/

Web interface pour OSSEC: AnaLogi 1.01 - LinuxFr.org http://linuxfr.org/users/lilliput/journaux/web-interface-pour-ossec-analogi-1-01

Thu Mar 5 05:48:03 2015

Pour présenter OSSEC pour ceux qui ne connaissent pas encore, OSSEC est un HIDS, il permet d'analyser les logs, d'alerter quand les fichiers sont modifiés, de détecter certains rootkits, le tout en temps réel et opensource.

AnaLogi, Analytical Log Interface, est une interface Web pour OSSEC, l'interface existante n'utilise pas les capacités d'OSSEC, Mister Andrew à donc codé une petite interface PHP/Ajax..

Pour les plus curieux il faut juste logguer les alertes OSSEC avec le plugin MySQL) d'OSSEC. Le téléchargement d'AnaLogi c'est ici: https://github.com/ECSC/analogi/downloads

Consolidation des logs avec rsyslog, MySQL et LogAnalyser | Ta vie on s'en fout! http://tavie.onsenfout.com/2011/07/05/consolidation-des-logs-avec-rsyslog-mysql-et-loganalyser/

Sun Feb 15 11:50:58 2015

Dès qu’on a plus d’un serveur à gérer il est intéressant de pouvoir centraliser les logs des différentes machines pour en simplifier l’administration. C’est relativement facile avec rsyslog. Ce mini tuto va nous permettre de monter un serveur de logs sous Debian, les logs étant stockées dans une base MySQL.

Centralisation et gestion des logs avec rsyslog et Loganalyzer | Gizeek http://www.gizeek.com/2010/04/11/centralisation-et-gestion-des-logs-avec-rsyslog-et-loganalyzer/

Sat Feb 14 02:38:11 2015

Un réseau est constitué de nombreux équipements actifs tels des switchs, des pare feu et bien sûr des postes. Tous ces équipements génèrent des journaux d’activité rendant compte de divers évènements (connexions, changement d’adresse, etc…). Ces journaux ou logs sont formatés d’une certaine façon qui les rend difficilement lisibles. D’autre part les logs sont éparpillés sur le réseau ce qui a pour conséquence de devoir être sur le périphérique qui émet ces logs pour les consulter. De ces constatations on en déduit une solution simple à savoir : la centralisation des logs sur un seul et même serveur. Une fois le problème de la centralisation résolu il faut ensuite en venir à l’exploitation de ces logs. On va donc voir ce qu’il est possible de faire avec rsyslog et une interface web: LogAnalyzer

Comment centraliser tous les logs de vos serveurs https://youtu.be/1r1SOeaDqH4

Sat Jan 17 06:49:14 2015

Quand on pense aux logs on pense souvent aux cas les plus dramatiques : piratage, perte de données, etc. Mais les logs peuvent aussi servir à surveiller une infra, en complément des outils de métrologie (Centreon, Shinken, Zabbix, etc) ou encore à débugguer des erreurs subites.

Je vous invite à lire cette conférence d'Olivier Dolbeau enregistrée lors du forum PHP 2014. Il nous explique comment l'infrastructure ELK (ElasticSearch, Logstash, Kibana) est utilisée chez Blablacar :

Liens par page

Filtres

vi /etc/rsyslog.conf

on y trouve par default vers la ligne 60 :

qu'il suffit de modifier en :

puis :

/etc/init.d/rsyslog restart