Intégration et analyse des logs iptables dans Splunk

Splunk Logo

Salut à tous, aujourd’hui on va regarder ce qu’on peut tirer de nos logs iptables dans Splunk. Dans mon dernier article sur iptables je vous ai déjà montré comment configurer les logs iptables, on va voir dans ce TP comment les intégrer simplement dans Splunk et ce qu’on peut tirer des logs iptables dans Splunk.

Intégrer les logs iptables dans Splunk

Dans le premier TP je vous ai déjà montré comment ajouter des logs via une app dédiée, on va recommencer dans la mesure où une app existe aussi pour iptables (source) ! Elle a un prérequis qui est que le champ de log doit être préfixé par « ACTION= ». Ça tombe bien, c’est ce que j’ai fait précédemment (à croire que je savais où j’allais, incroyable). Vous pouvez donc suivre facilement les même étapes que pour intégrer les logs Nginx, mais avec le fichier /var/log/iptables.log et le source type linux:netfilter. Je vous conseille encore une fois d’utiliser un index dédié avec un politique de rétention adaptée à vos logs de firewall et votre espace disque.

Analyse de logs iptables avec Splunk

Je vous propose ci-dessous quelques recherches sur vos log iptables pour évaluer … Lire la suite

Logs iptables : Configurer votre firewall pour Splunk

Bonjour à tous, aujourd’hui on prépare le 3ème article de la série sur Splunk et je complète celui sur iptables. Et on va regarder comment configurer les logs iptables de manière à pouvoir les exploiter dans Splunk dans le prochain article.

Configurer les logs iptables

La méthode simple

Sur une Debian 9, par défaut iptables ne trace presque rien et le peu qu’il indique se trouve dans le fichier /var/log/messages avec tout le reste d’une partie des journaux système, complètement hétérogène. CE n’est vraiment pas idéal pour intégrer ça simplement dans Splunk. On va donc faire trois choses dans ce TP:

  1. Configurer iptables pour qu’il ajoute un préfixe sur toutes les lignes de log qu’il écrit ;
  2. indiquer à rsyslog que toute les lignes de logs commençant ce préfixe doivent être placée dans un fichier à part ; et
  3. Configurer un politique de log pour iptables sur note machine.

Et on va commencer par le point numéro deux. Créer un fichier /etc/rsyslog.d/iptables.conf avec votre éditeur préféré avec le contenu suivant :

:msg,contains,"ACTION=" /var/log/iptables.log
& stop

Avec cette configuration, toutes les lignes contenant le texte ACTION= seront placé dans le fichier /var/log/iptables.log. Il ne nous reste plus qu’à redémarrer … Lire la suite

Installer Splunk Free sur Debian 9

Splunk Logo

Salut à tous, ce post est le premier d’une séries d’articles autour de Splunk dans le cadre de la supervision de Geekeries.org. On y parlera sécurité, monitoring ou encore log management. L’objectif est de vous montrer ce qu’il est possible de faire de vos logs juste avec la version gratuite de l’outil. Et pour ceux qui se posent la question : non, ce n’est pas sponsorisé, et je suis absolument libre de vous dire ce que je veux du soft. Splunk est simplement en train de devenir un outil de plus en plus important de nos jours en sécurité et en informatique en général (même s’il a des alternatives). Ça vaut donc la peine de se faire quelques tutoriels sur ce dernier, ne serait que pour vous donner une idée de ses capacités. Aujourd’hui on va simplement voir comment installer Splunk Free sur Debian 9.

Splunk c’est quoi ?

C’est logiciel de recherche, suivi et d’analyse de données machines il permet la collecte, l’indexation et la corrélation de données en temps réel dans des archives « recherchables », permettant de générer des graphiques, des rapports, des alertes, des tableaux de bord et des infographies. Wikipédia et le site de Lire la suite