Mais d'où viennent tous ces gens qui nous rendent visite ... #graylog #analyse #geolocalisation #tilaune #log

Depuis quelques temps déjà, les serveurs de Tilaune reçoivent un nombre croissant de visites plus ou moins bien intentionnées. De ce fait, il devenait de plus en plus complexe de consulter les différents logs (Firewall, Domino, Windows , Red Hat, ... ) pour nous permettre de séparer le bon grain de l’ivraie ...
Je me suis donc mis à la recherche d'un collecteur d'informations. Après plusieurs essais et au regard de l'infrastructure de Tilaune, le choix s'est porté sur un produit OpenSource Graylog.
Cet outil a une communauté active mais dispose également d'une structure commerciale capable d'assurer suivi et support lorsque les "geek" ne font pas partie de l'entreprise.


Le produit est  Graylog qui s'appuie sur Mongodb pour la base de données et sur Elastisearch pour le moteur de recherche.

(Je n'ai pas utilisé ELK car, notamment, les alerteurs sont payant contrairement à Graylog .. )

L'installation des collecteurs de données (syslog, windows, red hat, fichier.. )  et des analyseurs de log est relativement simple à mettre en œuvre.
Une fois cette étape réalisée, on peut facilement se constituer des tableaux de bord qui permettent une vision rapide des chiffres clefs.
Le serveur d'une mono-session est "peu puissant" et ne met pas par terre l'ESX en fonctionnant .. La configuration est de 2 CPU / 16Go Ram / 100 Go disque.  Le rectorat de Rennes estime à 1Go pour 1 millions d'événement stockés ...    

Bien sûr, je ne vais pas dévoiler ce qui se trouve dans notre architecture (si vous avez un compte sur nos communautés nous en parlerons de vive voix sur le forums d'échanges d'idées ... ) mais regardons ce que ça donne avec un extract du Dashboard "Firewall"
(les chiffres sont donnés pour une analyse sur 24h... )

Les connexions en SMTP autorisées ou pas ;-)
 Idem pour les connexions HTTP / HTTPS (là j'ai tout ré-agrégé dans un seul et même tableau )
et la cerise sur le gâteau  "La map.. Ils viennent d'où ? " car le produit dispose d'un module de géolocalisation "gratuit".
La base se met à jour une fois par semaine. Si on paie, on disposera de mises à jour beaucoup plus fréquentes.
Géolocalisation pour le flux SMTP
 et pour le flux HTTP/HTTPS

 Les cartes sont bien sûr équipées d'une "main" et d'un zoom... pour avoir des informations plus précises.

Vous pouvez alors espérer rencontrer vos "admirateurs"...
Si vous avez des questions, contactez nous ...


Aucun commentaire: