J'ai plusieurs machines qui exportent toutes leurs logs vers un
serveur Syslog. Ce dernier sert au stockage et a l'administration des
logs, ainsi qu'a la correlation en envoyant tout a un outil de
correlation.
Mais pour l'outil de correlation, c'est comme si tous les logs
provenaient de la meme source. De plus, le log "originel" n'est plus
qu'une partie du log qui arrive finalement au moteur de correlation.
Le moteur ne le reconnait donc pas. Y a t il un moyen pour que l'outil
de correlation recoivent les logs tels qu'ils ont ete emis par les
differentes sources ?
A (@loghost)--- |
B (@loghost)--- | --- loghost (@moteur) --- moteur de correlation
C (@loghost)--- |
Le moteur de correlation aimerait recevoir les logs comme si ils les
recevaient directement de A, B ou C. Bien sur il n'est pas possible de
faire de modification sur l'ensemble des sources, sinon le loghost ne
servirait plus a rien :) et non, on ne peut pas installer le moteur
sur le loghost :)
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Laurent Wacrenier
Florent Carli écrit:
A (@loghost)--- | B (@loghost)--- | --- loghost (@moteur) --- moteur de correlation C (@loghost)--- |
Le moteur de correlation aimerait recevoir les logs comme si ils les recevaient directement de A, B ou C. Bien sur il n'est pas possible de faire de modification sur l'ensemble des sources, sinon le loghost ne servirait plus a rien :) et non, on ne peut pas installer le moteur sur le loghost :)
Les messages de syslog ne contiennent pas l'hôte source mais juste la facilité, la priorité et le message lui même, syslog écrit les log en indiquant la provenance du paquet.
Il y a deux solutions : - rediriger les paquets avec une règle de firewall. - paramétrer les syslog de A, B, C pour envoyer une copie sur 'moteur'.
Florent Carli <nospam@tomcat.ca.tc> écrit:
A (@loghost)--- |
B (@loghost)--- | --- loghost (@moteur) --- moteur de correlation
C (@loghost)--- |
Le moteur de correlation aimerait recevoir les logs comme si ils les
recevaient directement de A, B ou C. Bien sur il n'est pas possible de
faire de modification sur l'ensemble des sources, sinon le loghost ne
servirait plus a rien :) et non, on ne peut pas installer le moteur
sur le loghost :)
Les messages de syslog ne contiennent pas l'hôte source mais juste la
facilité, la priorité et le message lui même, syslog écrit les log en
indiquant la provenance du paquet.
Il y a deux solutions :
- rediriger les paquets avec une règle de firewall.
- paramétrer les syslog de A, B, C pour envoyer une copie sur 'moteur'.
A (@loghost)--- | B (@loghost)--- | --- loghost (@moteur) --- moteur de correlation C (@loghost)--- |
Le moteur de correlation aimerait recevoir les logs comme si ils les recevaient directement de A, B ou C. Bien sur il n'est pas possible de faire de modification sur l'ensemble des sources, sinon le loghost ne servirait plus a rien :) et non, on ne peut pas installer le moteur sur le loghost :)
Les messages de syslog ne contiennent pas l'hôte source mais juste la facilité, la priorité et le message lui même, syslog écrit les log en indiquant la provenance du paquet.
Il y a deux solutions : - rediriger les paquets avec une règle de firewall. - paramétrer les syslog de A, B, C pour envoyer une copie sur 'moteur'.
nospam
Les messages de syslog ne contiennent pas l'hôte source mais juste la facilité, la priorité et le message lui même, syslog écrit les log en indiquant la provenance du paquet.
Tout a fait d'accord. Mais comme le syslog ecrit la source du paquet, une "chaine" de syslog modifiera a chaque fois le log. Le but est donc de retrouver le log originel ...
Il y a deux solutions : - rediriger les paquets avec une règle de firewall. - paramétrer les syslog de A, B, C pour envoyer une copie sur 'moteur'.
la deuxieme solution m'est impossible, c pour ca que j'ai un pb :)
La premiere solution par contre me semble tres interessante. Il faudrait que le syslog-server copie les paquets a une autre destination, en plus de les garder pour lui meme. Je ne connais pas assez iptables pour faire ca, qq'un pourrait il me dire a quoi ressemblerait une telle regle ? (copie de tout les paquets UDP en arrivee sur le port 514 vers le port 514 d'une autre machine + accepter les paquets en local).
Merci
Florent
Les messages de syslog ne contiennent pas l'hôte source mais juste la
facilité, la priorité et le message lui même, syslog écrit les log en
indiquant la provenance du paquet.
Tout a fait d'accord. Mais comme le syslog ecrit la source du paquet,
une "chaine" de syslog modifiera a chaque fois le log. Le but est donc
de retrouver le log originel ...
Il y a deux solutions :
- rediriger les paquets avec une règle de firewall.
- paramétrer les syslog de A, B, C pour envoyer une copie sur 'moteur'.
la deuxieme solution m'est impossible, c pour ca que j'ai un pb :)
La premiere solution par contre me semble tres interessante. Il
faudrait que le syslog-server copie les paquets a une autre
destination, en plus de les garder pour lui meme.
Je ne connais pas assez iptables pour faire ca, qq'un pourrait il me
dire a quoi ressemblerait une telle regle ? (copie de tout les paquets
UDP en arrivee sur le port 514 vers le port 514 d'une autre machine +
accepter les paquets en local).
Les messages de syslog ne contiennent pas l'hôte source mais juste la facilité, la priorité et le message lui même, syslog écrit les log en indiquant la provenance du paquet.
Tout a fait d'accord. Mais comme le syslog ecrit la source du paquet, une "chaine" de syslog modifiera a chaque fois le log. Le but est donc de retrouver le log originel ...
Il y a deux solutions : - rediriger les paquets avec une règle de firewall. - paramétrer les syslog de A, B, C pour envoyer une copie sur 'moteur'.
la deuxieme solution m'est impossible, c pour ca que j'ai un pb :)
La premiere solution par contre me semble tres interessante. Il faudrait que le syslog-server copie les paquets a une autre destination, en plus de les garder pour lui meme. Je ne connais pas assez iptables pour faire ca, qq'un pourrait il me dire a quoi ressemblerait une telle regle ? (copie de tout les paquets UDP en arrivee sur le port 514 vers le port 514 d'une autre machine + accepter les paquets en local).
Merci
Florent
nospam
- rediriger les paquets avec une règle de firewall. - paramétrer les syslog de A, B, C pour envoyer une copie sur 'moteur'.
la deuxieme solution m'est impossible, c pour ca que j'ai un pb :)
La premiere solution par contre me semble tres interessante. Il faudrait que le syslog-server copie les paquets a une autre destination, en plus de les garder pour lui meme. Je ne connais pas assez iptables pour faire ca, qq'un pourrait il me dire a quoi ressemblerait une telle regle ? (copie de tout les paquets UDP en arrivee sur le port 514 vers le port 514 d'une autre machine + accepter les paquets en local).
Quelqu'un saurait il faire ca avec ipf ? Comment faire a la fois une redirection (genre "rdr tun0 monip/32 port 514 -> ipdumoteur port 514") et un pass in classique ? est ce que l'un n'empeche pas l'autre ?
Florent
- rediriger les paquets avec une règle de firewall.
- paramétrer les syslog de A, B, C pour envoyer une copie sur 'moteur'.
la deuxieme solution m'est impossible, c pour ca que j'ai un pb :)
La premiere solution par contre me semble tres interessante. Il
faudrait que le syslog-server copie les paquets a une autre
destination, en plus de les garder pour lui meme.
Je ne connais pas assez iptables pour faire ca, qq'un pourrait il me
dire a quoi ressemblerait une telle regle ? (copie de tout les paquets
UDP en arrivee sur le port 514 vers le port 514 d'une autre machine +
accepter les paquets en local).
Quelqu'un saurait il faire ca avec ipf ?
Comment faire a la fois une redirection (genre "rdr tun0 monip/32 port
514 -> ipdumoteur port 514") et un pass in classique ? est ce que l'un
n'empeche pas l'autre ?
- rediriger les paquets avec une règle de firewall. - paramétrer les syslog de A, B, C pour envoyer une copie sur 'moteur'.
la deuxieme solution m'est impossible, c pour ca que j'ai un pb :)
La premiere solution par contre me semble tres interessante. Il faudrait que le syslog-server copie les paquets a une autre destination, en plus de les garder pour lui meme. Je ne connais pas assez iptables pour faire ca, qq'un pourrait il me dire a quoi ressemblerait une telle regle ? (copie de tout les paquets UDP en arrivee sur le port 514 vers le port 514 d'une autre machine + accepter les paquets en local).
Quelqu'un saurait il faire ca avec ipf ? Comment faire a la fois une redirection (genre "rdr tun0 monip/32 port 514 -> ipdumoteur port 514") et un pass in classique ? est ce que l'un n'empeche pas l'autre ?
Florent
Cyril Guibourg
(Florent Carli) writes:
Bonjour,
[...]
A (@loghost)--- | B (@loghost)--- | --- loghost (@moteur) --- moteur de correlation C (@loghost)--- |
Le moteur de correlation aimerait recevoir les logs comme si ils les recevaient directement de A, B ou C. Bien sur il n'est pas possible de faire de modification sur l'ensemble des sources, sinon le loghost ne servirait plus a rien :) et non, on ne peut pas installer le moteur sur le loghost :)
Salut,
As-tu essayé avec syslog-ng ? A une époque, dans une chaine, il savait conserver le host d'origine. http://www.balabit.com/products/syslog_ng/
HTH
-- FG : Moi, j'ai un : Server error CB : Et t'en es content ? -+- in: Guide du Cabaliste Usenet - Cabale: no such file in directory -+-
nospam@tomcat.ca.tc (Florent Carli) writes:
Bonjour,
[...]
A (@loghost)--- |
B (@loghost)--- | --- loghost (@moteur) --- moteur de correlation
C (@loghost)--- |
Le moteur de correlation aimerait recevoir les logs comme si ils les
recevaient directement de A, B ou C. Bien sur il n'est pas possible de
faire de modification sur l'ensemble des sources, sinon le loghost ne
servirait plus a rien :) et non, on ne peut pas installer le moteur
sur le loghost :)
Salut,
As-tu essayé avec syslog-ng ? A une époque, dans une chaine, il savait
conserver le host d'origine. http://www.balabit.com/products/syslog_ng/
HTH
--
FG : Moi, j'ai un : Server error
CB : Et t'en es content ?
-+- in: Guide du Cabaliste Usenet - Cabale: no such file in directory -+-
A (@loghost)--- | B (@loghost)--- | --- loghost (@moteur) --- moteur de correlation C (@loghost)--- |
Le moteur de correlation aimerait recevoir les logs comme si ils les recevaient directement de A, B ou C. Bien sur il n'est pas possible de faire de modification sur l'ensemble des sources, sinon le loghost ne servirait plus a rien :) et non, on ne peut pas installer le moteur sur le loghost :)
Salut,
As-tu essayé avec syslog-ng ? A une époque, dans une chaine, il savait conserver le host d'origine. http://www.balabit.com/products/syslog_ng/
HTH
-- FG : Moi, j'ai un : Server error CB : Et t'en es content ? -+- in: Guide du Cabaliste Usenet - Cabale: no such file in directory -+-
nospam
As-tu essayé avec syslog-ng ? A une époque, dans une chaine, il savait conserver le host d'origine. http://www.balabit.com/products/syslog_ng/
Coup de chance, c'est syslog-ng qui tourne sur mon serveur syslog. Mais je ne trouve nulle pas comment lui dire de conserver la source dans une chaine. Si qq'un sait faire, je suis preneur ! :)
Florent
As-tu essayé avec syslog-ng ? A une époque, dans une chaine, il savait
conserver le host d'origine. http://www.balabit.com/products/syslog_ng/
Coup de chance, c'est syslog-ng qui tourne sur mon serveur syslog.
Mais je ne trouve nulle pas comment lui dire de conserver la source
dans une chaine.
Si qq'un sait faire, je suis preneur ! :)
As-tu essayé avec syslog-ng ? A une époque, dans une chaine, il savait conserver le host d'origine. http://www.balabit.com/products/syslog_ng/
Coup de chance, c'est syslog-ng qui tourne sur mon serveur syslog. Mais je ne trouve nulle pas comment lui dire de conserver la source dans une chaine. Si qq'un sait faire, je suis preneur ! :)
Florent
Cyril Guibourg
(Florent Carli) writes:
Si qq'un sait faire, je suis preneur ! :)
De mémoire, voir du côté de chain_hostnames & keep_hostname. Si tu as un peu de temps je peux vérifier une fois au taf.
-- Ben non, c'est tout de meme un sport très intéressant et original. ET fr.rec.neige permet aussi de parler de la reproduction des pingouins, ce qui concerne pas mal de participants de ce groupe. -+- YP in Guide du linuxien pervers - "Oui à fr.comp.os.linux.snowboard !"
nospam@tomcat.ca.tc (Florent Carli) writes:
Si qq'un sait faire, je suis preneur ! :)
De mémoire, voir du côté de chain_hostnames & keep_hostname. Si
tu as un peu de temps je peux vérifier une fois au taf.
--
Ben non, c'est tout de meme un sport très intéressant et original. ET
fr.rec.neige permet aussi de parler de la reproduction des pingouins,
ce qui concerne pas mal de participants de ce groupe.
-+- YP in Guide du linuxien pervers - "Oui à fr.comp.os.linux.snowboard !"
De mémoire, voir du côté de chain_hostnames & keep_hostname. Si tu as un peu de temps je peux vérifier une fois au taf.
-- Ben non, c'est tout de meme un sport très intéressant et original. ET fr.rec.neige permet aussi de parler de la reproduction des pingouins, ce qui concerne pas mal de participants de ce groupe. -+- YP in Guide du linuxien pervers - "Oui à fr.comp.os.linux.snowboard !"
