programme d'analyse de log apache pour la securite

Le
Hugues MORIN
Bonjour a tous


Je suis a la recherche d'un programme d'analyse de log apache.

La majorite des programmes (urchin, awstat, etc) sont bien pour
voir le comportement general mais j'en cherche un qui pourrait me
permettre de suivre les requete emanant d'une seule IP et le resultat
de celle-ci.

Je suis responsable d'un serveur depuis peu et je ne suis pas encore
tres a l'aise avec ce serveur.
J'aurai besoin d'un programme d'analyse qui me permettent de
surveiller celui-ci et de "tracker" d'eventuel pirate.

A default de pouvoir anticiper les attaques, ca me permettrait de les
voir rapidement et de faire le necessaire pour les bloquer.

Si ce n'ai pas la bonne maniere de proceder, n'hesiter pas me le dire
car je suis dans l'impro la plus totale ;-)

Merci d'avance de vos conseils :D

Cordialement
Hugues

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/CAMEeNc02Vr1zSBVUqqgPNpeZgOgaSx-T3h5V4UrcsifCEJY76g@mail.gmail.com
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Sandro CAZZANIGA
Le #25274402
--FL5UXtIhxfXey3p5
Content-Type: text/plain; charset=iso-8859-1
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

On Mon, Mar 11, 2013 at 01:10:32PM +0100, Hugues MORIN wrote:
Bonjour a tous


Je suis a la recherche d'un programme d'analyse de log apache.

La majorite des programmes (urchin, awstat, etc...) sont bien pour
voir le comportement general mais j'en cherche un qui pourrait me
permettre de suivre les requete emanant d'une seule IP et le resultat
de celle-ci.

Je suis responsable d'un serveur depuis peu et je ne suis pas encore
tres a l'aise avec ce serveur.
J'aurai besoin d'un programme d'analyse qui me permettent de
surveiller celui-ci et de "tracker" d'eventuel pirate.

A default de pouvoir anticiper les attaques, ca me permettrait de les
voir rapidement et de faire le necessaire pour les bloquer.

Si ce n'ai pas la bonne maniere de proceder, n'hesiter pas me le dire
car je suis dans l'impro la plus totale ;-)

Merci d'avance de vos conseils :D

Cordialement
Hugues




Bonjour Hugues,

Il y a vlogger, qui sert à analyser des journaux, mais je ne l'ai jamais essayé. A voir donc...

--
Sandro Cazzaniga
Jabber:
Twitter: @Kharec


--FL5UXtIhxfXey3p5
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)

iQEcBAEBAgAGBQJRPdP+AAoJEOk/tJ1aQIB9yzgH/iShJdMnof+BkdSVLkW/J0gt
UTomRZRywWHb1btKe8wHrMsM6usi1ocU2aAcrUGNom2dQK+kA8HZz6oHcS/+TIXQ
c+vBtzb6NwUBfRNycrTjR5khD2K9jl6fZj0eNilF5h9kQrwkOK8SJZzOq++SNRrz
mQ0t87kdgGcFre51E1EUoLF7k2tkjhnbMyRnjrWHnR0EgAZRkp+x19yylpdAt1bZ
xg0LeE/o+7sD9nIbolN0PJHHgUCJmNJ25KSLvfJ56C1+gAA/mtfWJY56Wp0oabGZ
l02yYBSmBGcDhqN3ovTjOoZeDZ1dYfqgHqN9gS0VTgRO4ch0ZeIblT2AnmspVB0 =Tc0P
-----END PGP SIGNATURE-----

--FL5UXtIhxfXey3p5--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Frédéric Massot
Le #25274502
Le 11/03/2013 13:10, Hugues MORIN a écrit :
Bonjour a tous


Je suis a la recherche d'un programme d'analyse de log apache.

La majorite des programmes (urchin, awstat, etc...) sont bien pour
voir le comportement general mais j'en cherche un qui pourrait me
permettre de suivre les requete emanant d'une seule IP et le resultat
de celle-ci.

Je suis responsable d'un serveur depuis peu et je ne suis pas encore
tres a l'aise avec ce serveur.
J'aurai besoin d'un programme d'analyse qui me permettent de
surveiller celui-ci et de "tracker" d'eventuel pirate.

A default de pouvoir anticiper les attaques, ca me permettrait de les
voir rapidement et de faire le necessaire pour les bloquer.

Si ce n'ai pas la bonne maniere de proceder, n'hesiter pas me le dire
car je suis dans l'impro la plus totale ;-)



Regarde du coté des IDS (Intrusion Detection System), parmi les plus
plus connu il y a Snort et Prelude. Après, c'est comme le fromage,
chacun a son préférer.



--
============================================= | FRÉDÉRIC MASSOT |
| http://www.juliana-multimedia.com |
| mailto: |
| +33.(0)2.97.54.77.94 +33.(0)6.67.19.95.69 |
==========================Þbian=GNU/Linux==
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
andre_debian
Le #25274562
* logwatch *
couplé avec "cron" envoie un rapport quotidien très circonstancié
du serveur via une adresse email, dont Apache.
Ceci permet de surveiller tous les aspects du serveur.

André

On Monday 11 March 2013 14:31:45 Frédéric Massot wrote:
Le 11/03/2013 13:10, Hugues MORIN a écrit :
> Je suis a la recherche d'un programme d'analyse de log apache.
> La majorite des programmes (urchin, awstat, etc...) sont bien pour
> voir le comportement general mais j'en cherche un qui pourrait me
> permettre de suivre les requete emanant d'une seule IP et le resultat
> de celle-ci.
> Je suis responsable d'un serveur depuis peu et je ne suis pas encore
> tres a l'aise avec ce serveur.
> J'aurai besoin d'un programme d'analyse qui me permettent de
> surveiller celui-ci et de "tracker" d'eventuel pirate.
> A default de pouvoir anticiper les attaques, ca me permettrait de les
> voir rapidement et de faire le necessaire pour les bloquer.
> Si ce n'ai pas la bonne maniere de proceder, n'hesiter pas me le dire
> car je suis dans l'impro la plus totale ;-)

Regarde du coté des IDS (Intrusion Detection System), parmi les plus
plus connu il y a Snort et Prelude. Après, c'est comme le fromage,
chacun a son préférer.



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Bzzz
Le #25274572
On Mon, 11 Mar 2013 13:10:32 +0100
Hugues MORIN
J'aurai besoin d'un programme d'analyse qui me permettent de
surveiller celui-ci et de "tracker" d'eventuel pirate.

A default de pouvoir anticiper les attaques, ca me permettrait de les
voir rapidement et de faire le necessaire pour les bloquer.



Ça n'est pas dans le svr http que ça se passe, c'est dans
les règles du firewall (eg: plus de 5 connexions/s => banni
30 minutes, avec tolérance pour les moteurs de référencement ).

Avec des choses comme fail2ban, snort, etc

Mais le Pal pour sécuriser un svr, c'est déjà de fermer tout es
les portes derrière soi, en vérifiant par ex. que les sites ne
sont pas vulnérable au cross scripting ou au sql injection² et de
s'abonner à une ou des listes de sécurité pour suivre les
éventuelles failles susceptibles d'être exploitées dans ta
version de svr.

² Et de suspendre l'exploitation di site tant que les devs n'ont
pas bouché le trou de sécurité, ce qui peut vite devenir
folklorique dans certains cas.
--
Lou : Pfff j'ai trop chaud...
Titus : bah enlève ton t-shirt
Lou : déjà fait
Titus : Ah...
* Titus voudrait voir votre webcam. Acceptez-vous ? - (Accepter / Refuser)

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Hugues MORIN
Le #25275672
Bonjour

Merci pour vos reponses

Je vais potasser tout ca et tester les programmes pour voir celui qui
me convient le mieux.

Je sais que google regorge de tuto sur les firewall mais si vous en
connaissez qui sont "particulierement bien et accessible" pour un
debutant, je suis preneur :D

Bonne journee
Cordialement
Hugues




Le 11 mars 2013 14:57, Bzzz
On Mon, 11 Mar 2013 13:10:32 +0100
Hugues MORIN
J'aurai besoin d'un programme d'analyse qui me permettent de
surveiller celui-ci et de "tracker" d'eventuel pirate.

A default de pouvoir anticiper les attaques, ca me permettrait de les
voir rapidement et de faire le necessaire pour les bloquer.



Ça n'est pas dans le svr http que ça se passe, c'est dans
les règles du firewall (eg: plus de 5 connexions/s => banni
30 minutes, avec tolérance pour les moteurs de référencement).

Avec des choses comme fail2ban, snort, etc

Mais le Pal pour sécuriser un svr, c'est déjà de fermer toutes
les portes derrière soi, en vérifiant par ex. que les sites ne
sont pas vulnérable au cross scripting ou au sql injection² et de
s'abonner à une ou des listes de sécurité pour suivre les
éventuelles failles susceptibles d'être exploitées dans ta
version de svr.

² Et de suspendre l'exploitation di site tant que les devs n'ont
pas bouché le trou de sécurité, ce qui peut vite devenir
folklorique dans certains cas.
--
Lou : Pfff j'ai trop chaud...
Titus : bah enlève ton t-shirt
Lou : déjà fait
Titus : Ah...
* Titus voudrait voir votre webcam. Acceptez-vous ? - (Accepter / Refuser )

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/CAMEeNc3AFcoPmgjH5KDzkemex-8yMsyTx-X0Tf8WfCYrdruD+
Jean-Michel OLTRA
Le #25275732
Bonjour,


Le mardi 12 mars 2013, Hugues MORIN a écrit...


Je vais potasser tout ca et tester les programmes pour voir celui qui
me convient le mieux.



J'utilise Ossec (http://www.ossec.net), pour analyser les logs d'Apache,
et apporter éventuellement la réponse qui convient…avec Netfilter
(iptables) et ipset (http://ipset.netfilter.org/).

--
jm

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Sébastien NOBILI
Le #25275742
Le mardi 12 mars 2013 à 10:29, Hugues MORIN a écrit :
Je sais que google regorge de tuto sur les firewall mais si vous en
connaissez qui sont "particulierement bien et accessible" pour un
debutant, je suis preneur :D



Quand j'ai débuté, cette page m'a pas mal aidé. Il reprend les bases, et, si mes
souvenirs sont bons, c'est assez progressif.
http://olivieraj.free.fr/fr/linux/information/firewall/

Seb

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Hugues MORIN
Le #25276262
Bonjour

Merci Sebastien pour le tuto sur les firewall, il a l'air bien
structure pour apprendre ;-)

Je pense que je vais m'orienter vers SNORT ou OSSEC. Et ajouter peut
etre LOGWATCH si ceux-ci ne gerent pas l'envoi d'email de rapport.

Par contre je n'ai pas bien compris ce qu'est IPSET/NETFILTER.

Pour info a ce qui consulteront les archives de la liste:
(... et un peu pour moi aussi ;-)

VLOGGER:
permet de reorganiser les logs afin que chaque virtualhost est le
sien. Il se configure directement dans le apache.conf a l'aide des
directive logformat et customlog.
Voir:
http://pwet.fr/man/linux/commandes/vlogger
http://httpd.apache.org/docs/2.2/fr/logs.html
http://www.howtoforge.com/apache_log_splitting_vlogger

LOGWATCH:
"est un système configurable d'analyse de fichiers journaux ( log )
distribué sous licence MIT.
Il va parcourir et analyser les fichiers journaux, et envoyer par un
rapport par courriel." (ubuntu-fr.org)
Il peut s'utiliser avec n'importe quel fichier journal du systeme
Voir:
http://doc.ubuntu-fr.org/logwatch

SNORT: *** Recherche a approfondir ***
Plusieurs mode de fonctionement et mise a jour des regles regulieres.
Fonctionne avec BASE pour la visualistion des donnees.

PRELUDE:
Systeme tres complet et professionnel.
Il semblerai que la version Open source souffre de probleme de
performance (Cf.
http://www.prelude-ids.com/fr/communaute/telechargement/index.html)
Voir:
http://www.prelude-ids.com/fr/bienvenue/index.html
http://doc.ubuntu-fr.org/prelude

OSSEC:
est un Host based IDS (HIDS) et aussi un IPS (Intrusion Prevention
System) actif.
Il est libre et a l'air facile a installer.
Voir:
http://www.ossec.net/
http://doc.ubuntu-fr.org/ossec
http://www.system-linux.eu/index.php?post/2009/10/29/Installation-et-config uration-d-Ossec

IPSET/NETFILTER: *** Recherche a approfondir ***
Netfilter est un framework implémentant un pare-feu au sein du noyau Linu x.
IP sets are a framework inside the Linux 2.4.x and 2.6.x kernel, which
can be administered by the ipset utility

Cordialement
Hugues


Le 12 mars 2013 11:07, Jean-Michel OLTRA

Bonjour,


Le mardi 12 mars 2013, Hugues MORIN a écrit...


Je vais potasser tout ca et tester les programmes pour voir celui qui
me convient le mieux.



J'utilise Ossec (http://www.ossec.net), pour analyser les logs d'Apache,
et apporter éventuellement la réponse qui convient…avec Netfilter
(iptables) et ipset (http://ipset.netfilter.org/).

--
jm

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/CAMEeNc3YTt+Z1+
andre_debian
Le #25277012
Bonne initiative, merci.

Ce type de bilan rend bien service.

Si tout le monde pouvait en faire autant ... :-)

Ou et comment peut-on consulter les archives de la ML ?

André


On Tuesday 12 March 2013 15:52:57 Hugues MORIN wrote:
Merci Sebastien pour le tuto sur les firewall, il a l'air bien
structure pour apprendre ;-)

Je pense que je vais m'orienter vers SNORT ou OSSEC. Et ajouter peut
etre LOGWATCH si ceux-ci ne gerent pas l'envoi d'email de rapport.

Par contre je n'ai pas bien compris ce qu'est IPSET/NETFILTER.

Pour info a ce qui consulteront les archives de la liste:
(... et un peu pour moi aussi ;-)

VLOGGER:
permet de reorganiser les logs afin que chaque virtualhost est le
sien. Il se configure directement dans le apache.conf a l'aide des
directive logformat et customlog.
Voir:
http://pwet.fr/man/linux/commandes/vlogger
http://httpd.apache.org/docs/2.2/fr/logs.html
http://www.howtoforge.com/apache_log_splitting_vlogger

LOGWATCH:
"est un système configurable d'analyse de fichiers journaux ( log )
distribué sous licence MIT.
Il va parcourir et analyser les fichiers journaux, et envoyer par un
rapport par courriel." (ubuntu-fr.org)
Il peut s'utiliser avec n'importe quel fichier journal du systeme
Voir:
http://doc.ubuntu-fr.org/logwatch

SNORT: *** Recherche a approfondir ***
Plusieurs mode de fonctionement et mise a jour des regles regulieres.
Fonctionne avec BASE pour la visualistion des donnees.

PRELUDE:
Systeme tres complet et professionnel.
Il semblerai que la version Open source souffre de probleme de
performance (Cf.
http://www.prelude-ids.com/fr/communaute/telechargement/index.html)
Voir:
http://www.prelude-ids.com/fr/bienvenue/index.html
http://doc.ubuntu-fr.org/prelude

OSSEC:
est un Host based IDS (HIDS) et aussi un IPS (Intrusion Prevention
System) actif.
Il est libre et a l'air facile a installer.
Voir:
http://www.ossec.net/
http://doc.ubuntu-fr.org/ossec
http://www.system-linux.eu/index.php?post/2009/10/29/Installation-et-conf ig
uration-d-Ossec

IPSET/NETFILTER: *** Recherche a approfondir ***
Netfilter est un framework implémentant un pare-feu au sein du noyau Li nux.
IP sets are a framework inside the Linux 2.4.x and 2.6.x kernel, which
can be administered by the ipset utility

Cordialement
Hugues


Le 12 mars 2013 11:07, Jean-Michel OLTRA

> Bonjour,
>
>
> Le mardi 12 mars 2013, Hugues MORIN a écrit...
>
>> Je vais potasser tout ca et tester les programmes pour voir celui qui
>> me convient le mieux.
>
> J'utilise Ossec (http://www.ossec.net), pour analyser les logs d'Apache,
> et apporter éventuellement la réponse qui convient…avec Netfilter
> (iptables) et ipset (http://ipset.netfilter.org/).
>
> --
> jm
>
> --
> Lisez la FAQ de la liste avant de poser une question :
> http://wiki.debian.org/fr/FrenchLists
>
> Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
> vers
> En cas de soucis, contactez EN ANGLAIS
> Archive: http://lists.debian.org/



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Mickael
Le #25277072
Le 12/03/2013 18:24, a écrit :
Bonne initiative, merci.

Ce type de bilan rend bien service.

Si tout le monde pouvait en faire autant ... :-)

Ou et comment peut-on consulter les archives de la ML ?


Pour cette ML
http://lists.debian.org/debian-user-french/

Sinon d'une façon globale
http://lists.debian.org/

André


On Tuesday 12 March 2013 15:52:57 Hugues MORIN wrote:
Merci Sebastien pour le tuto sur les firewall, il a l'air bien
structure pour apprendre ;-)

Je pense que je vais m'orienter vers SNORT ou OSSEC. Et ajouter peut
etre LOGWATCH si ceux-ci ne gerent pas l'envoi d'email de rapport.

Par contre je n'ai pas bien compris ce qu'est IPSET/NETFILTER.

Pour info a ce qui consulteront les archives de la liste:
(... et un peu pour moi aussi ;-)

VLOGGER:
permet de reorganiser les logs afin que chaque virtualhost est le
sien. Il se configure directement dans le apache.conf a l'aide des
directive logformat et customlog.
Voir:
http://pwet.fr/man/linux/commandes/vlogger
http://httpd.apache.org/docs/2.2/fr/logs.html
http://www.howtoforge.com/apache_log_splitting_vlogger

LOGWATCH:
"est un système configurable d'analyse de fichiers journaux ( log )
distribué sous licence MIT.
Il va parcourir et analyser les fichiers journaux, et envoyer par un
rapport par courriel." (ubuntu-fr.org)
Il peut s'utiliser avec n'importe quel fichier journal du systeme
Voir:
http://doc.ubuntu-fr.org/logwatch

SNORT: *** Recherche a approfondir ***
Plusieurs mode de fonctionement et mise a jour des regles regulieres.
Fonctionne avec BASE pour la visualistion des donnees.

PRELUDE:
Systeme tres complet et professionnel.
Il semblerai que la version Open source souffre de probleme de
performance (Cf.
http://www.prelude-ids.com/fr/communaute/telechargement/index.html)
Voir:
http://www.prelude-ids.com/fr/bienvenue/index.html
http://doc.ubuntu-fr.org/prelude

OSSEC:
est un Host based IDS (HIDS) et aussi un IPS (Intrusion Prevention
System) actif.
Il est libre et a l'air facile a installer.
Voir:
http://www.ossec.net/
http://doc.ubuntu-fr.org/ossec
http://www.system-linux.eu/index.php?post/2009/10/29/Installation-et-config
uration-d-Ossec

IPSET/NETFILTER: *** Recherche a approfondir ***
Netfilter est un framework implémentant un pare-feu au sein du noyau Linux.
IP sets are a framework inside the Linux 2.4.x and 2.6.x kernel, which
can be administered by the ipset utility

Cordialement
Hugues


Le 12 mars 2013 11:07, Jean-Michel OLTRA

Bonjour,


Le mardi 12 mars 2013, Hugues MORIN a écrit...

Je vais potasser tout ca et tester les programmes pour voir celui qui
me convient le mieux.


J'utilise Ossec (http://www.ossec.net), pour analyser les logs d'Apache,
et apporter éventuellement la réponse qui convient…avec Netfilter
(iptables) et ipset (http://ipset.netfilter.org/).

--
jm

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/







--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme