Salut à tous, j’ai joué un peu avec Splunk ces derniers temps, et j’ai fait des jolis tableaux de bord pour le site et le serveur. C’est un peu un point d’étape après toute la série d’article que je vous ai fait sur Splunk. Du coup aujourd’hui pas de notions compliquées : juste des jolies images exemples de dashboards Splunk et deux vidéos dont je suis content (et merci à Grégoire pour le coup de main !)
Exemples de dashboards Splunk
fail2ban
Ce petit dashboard est issu des travaux pour la TA de fail2ban. Les stats affichés ici sont pour 24h. J’ai refait quelques stats, on tombe sur une moyenne d’environ 500 IP différentes bannies par jour.
Vous noterez aussi les pays sources des tentatives : Chine et USA en tête, mais que la France se place en 3ème position. Signe qu’on est pas si mauvais que ça en sécurité informatique ? je vous laisse décider…
Nginx
Celui-ci sur la partie serveur web, je trouve qu’il permet de bien voir les pages du site qui fonctionnent. On voit aussi le nombre d’IP uniques qui requêtent le site (tous ne sont pas des « visiteurs » au sens humain). Mais ça reste une information intéressantes à croiser avec les données de Google Analytics qui me donnent le même chiffre…pour un mois (au lieu de 7j ici…^^). La réalité est probablement quelques part entre les deux !
Et pour votre curiosité, le site à dépassé les 12 000 IP uniques par mois début 2019 (ce qui reste parfaitement ridicule sur internet, mais je m’en tape !) . Bienvenu aux nouveaux donc ! Et si vous voulez en savoir plus jeter un coup d’œil au post sur nginx et splunk.
VSFTPD
Pas grand chose à raconter sur celui-ci, en dehors qu’il sort tout droit de la TA-VSFTPD que j’ai faite. Si ce n’est le « calendar Heat Map » en haut à droite qui permet de bien visualiser les jours ou le FTP est utilisé. Comme ce n’est pas un service qui tourne beaucoup sur le serveur…
SURICATA
Et encore hein qui sort de travaux sur le serveur, vous vous souvenez tu TP sur l’IDS/IPS Suricata ? Cherchez pas plus loin. Si on voulait jouer, on pourrait retirer les IP attaquants le 80 et 443 des logs nginx par exemple, pour avoir une valeur plus réaliste du nombre de visiteurs.
Iptables
Toujours dans le monitoring réseau, celui sur les logs iptables sont particulièrement intéressants. Notez, la proportion de trafic refusée en entrée : un petit 50% des demandes de connexions entrantes sont tout simplement refusées par le firewall. Pour ceux qui douterai encore du caractère agressif d’une IP exposée sur internet…
Et oui, sur celle-ci, j’ai flouté les IP des clients/destinations du serveur. Car j’ai trouvé que ça donnait un poil trop d’infos sur ce qui se passait sur le serveur…^^
WarRoom & missiles map
Et pour finir, le clou dans le cercueil du spectacle, deux petites vidéos sympa de dashboards de type « War Room ». je vous laisse en profiter, c’est hypnotisant comme fond d’écran en tout cas.
Et voilà c’est tout pour ces exemples de dashboards Splunk. Bon weekend à tous !