I.T.A.G (DTS1)

Ce forum incha allah aura pour but d aider les etudiant de la DTS1 a en plus savoir cotee cours et tt que sa soit reseau ou devlopment
 
AccueilPortailFAQRechercherS'enregistrerMembresGroupesConnexion

Partagez | 
 

 Les outils d'analyse de log

Aller en bas 
AuteurMessage
ultrasur
moderateur
moderateur
avatar

Messages : 200
Date d'inscription : 11/02/2008
Age : 31

MessageSujet: Les outils d'analyse de log   Mar 12 Fév - 11:07

Disponibilité
Tous les outils de cette page sont disponibles au même endroit : ftp CERT.

--------------------------------------------------------------------------------

Logcheck (1.1)
Cet outil se contente de faire une série de Grep sur les logs syslog à partir de fichiers de bizarrerie. Par exemple LOGIN FAILURE.

A cette fin, il est nécessaire d'avoir un fichier syslog.conf adapté qui renvoie TOUS les messages vers UN fichier à faire analyser par Logcheck.

C'est le plus sommaire par son fonctionnement et par conséquent pour la détection d'attaques. Son intérêt est donc limité en ce qui concerne les attaques de type scanning, vol de session, et refus de service.


Pour plus de renseignements : Logcheck


--------------------------------------------------------------------------------


Logsurfer (1.41)
C'est le plus difficile à mettre en oeuvre, car il convient de lui fournir un fichier de configuration adapté.

Mais, par conséquent, il peut être utilisé pour n'importe quel type de Log, puisque c'est à nous -à l'aide d'expression régulière similaires à egrep (GNU regex-0.12 library)- de lui indiquer ce qu'il doit ou ne doit pas rapporter.
Il est donc possible de réaliser des choses assez élaborée grâce à lui, notamment mettre de côté toutes les lignes correspondant à une expression si une autre est apercue, et détruire ces lignes si une autre expression apparait. Par exemple si on repère un paquet ACC (troisième paquet de la connection TCP), on garde tous les paquets concernant cette connection jusqu'au paquet CLO. S'il n'arrive pas (TIM ou RST), on affiche les lignes sauvegardées (appelées contexte).
On peut créer et detruire des règles suivant l'éxecution.

Dans le cas d'une utilisation simple, il est préférable d'employer un script Perl qui sera beaucoup plus rapide à travail égal, et dont le fonctionnement sera plus maîtrisable, en l'absence d'intermédiaire. De plus, le traitement des informations recueillies est plus aisé également.

Concernant son utilisation plus détaillée, voir : Utilisation de Logsurfer


Voir aussi : Logsurfer


--------------------------------------------------------------------------------


Netlog (1.2)
Il permet de "loguer" les connections TCP et UDP, et de faire ensuite le ménage à partir des adresses et ports sources et destinations, de l'heure et de la date. Il nous faut donc fournir une sorte d'access-list de ce qui est autorisé, et il nous fournit tout ce qui n'y est pas.

Il contient aussi un outil (netwatch ou etherscan) capable de détecter un traffic inhabituel, comme un nombre important de tentatives de connection, avec les drivers suivants : telnet, rlogin, rsh, ftp et smtp.

Il ne semble donc pas apporter suffisamment d'informations complémentaires a celles que nous obtenons déjà, les seules détections ont l'air assez figées -on ne peut guère les personnaliser-, et les seules évolutions sont celles que fournissent les créateurs.


Pour plus de renseignements : Netlog
Revenir en haut Aller en bas
Voir le profil de l'utilisateur http://www.realmadridclub.net
 
Les outils d'analyse de log
Revenir en haut 
Page 1 sur 1
 Sujets similaires
-
» informatique : faire revenir ma barre d'outils ?
» Outils pour la collimation
» [Info] Une des méthodes pour consacrer ses outils.
» oasis > outils
» Fiches outils en AV pour programmation/évaluation

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
I.T.A.G (DTS1) :: Cours de Réseaux et Development :: Réseaux :: cours-
Sauter vers: