Analyser les journaux du firewall

Analyser les journaux du firewall
0

#1

Bonjour,

mon firewall envoie les logs d’iptable vers un serveur syslog (sur Synology). Le problème c’est qu’il y a trop d’informations pour que ce soit exploitable.

Utilisez vous un logiciel pour analyser les logs ?


#2

Regarde du coté de Kibana, GrayLog


#3

@guiguiabloc a peut être des infos supplémentaires …


#4

Graylog est une bonne solution. Non seulement il te permet d’agréger les logs de ton firewall sur une longue durée mais, à l’inverse d’une solution ELK (elastic/kibana), il permet également d’executer des actions sur certains patterns (exemple un mail si plus de x tentatives sur un port ssh par exemple).
Une autre solution plus facile à mettre en place est SEC (un exemple d’utilisation ici https://blog.guiguiabloc.fr/index.php/2009/03/18/interception-des-erreurs-applicatives-dans-nagios-avec-sec-et-prelude-lml/


#5

Merci beaucoup, je vais tester ça !


#6

Logstash permet aussi l’analyse à la volée avec réaction