Quel log manager utilisez vous ?

Bambusa29

Chevalier Jedi
10 Avril 2022
305
137
83
J'ai installé 'Graylog+Mongo+Opensearch' dans un conteneur pour centraliser tous les logs de mes machines et containeurs.
J'ai mis en place 4 ou 5 flux de log provenant de machines ou de conteneurs et je suis étonné de la Ram (6Go) consommé par cette solution !!

Utilisez vous un log manager avec une Web UI pour centraliser l'analyse de vos logs ?
Et si oui, lequel me conseillerez vous qui soit beaucoup plus léger que Graylog :oops:
 
J'ai essayé et adopté LogAnalyzer, c'est plus rustique avec moins de fonctionnalités mais il consomme que 500Mo de ram, c'est beaucoup mieux :cool:
Il ne gère pas les notifications mais peut générer des rapports automatiquement via le cron.
Il reste plus qu'à configurer tous les clients (j'en ai fait que quelques un pour tester et que du syslog) et filtrer un peu plus ce que j'envoie.
Je vais rajouter les logs d'erreurs de mes serveurs Web aussi.

logAnalyzer.png

logAnalyzer01.png


Les captures m'ont permis de voir un problème remonté par le firewall :p
 
Dernière édition:
  • J'aime
Réactions: EVO
Celui là, il lâche pas l'affaire :oops:
Je retourne un 404 sur tous ce qui n'est pas légitime.
Scan venant d'une IP OVH...

Je pense mettre en place un filtre 'fail2ban' pour bannir automatiquement les IP de ce type de scan retournant du 40x (j'ai parfois du 400 aussi pour tester des failles potentielles) ;)

scan.png
 
Dernière édition:
  • Wow
Réactions: Nincha
Apres quelques réglages, la règle fail2ban contre les scans marche à merveille pour ceux qui insiste un peu trop :

ban.png

ban01.png

Sinon pour les autres, un 404 pour la plupart des erreurs 4xx avec un message sympathique et le moins d'informations possible sur le serveur :LOL:

callmeroot.png
golden.jpg
 
J'ai peaufiné mes règles fail2ban et fais évoluer la gestion des Ban au niveau de Nginx (c'est comme mieux de bloquer en amont au niveau du Firewall qu'au niveau de Nginx). Je gère une blacklist issue des Ban définitifs et l'ai mis dans un répertoire web accessible depuis l’extérieur par mon firewall (c'est comme cela qu'il gère toutes ses listes de blocage via des URL). Mon Firewall ne permet pas d'ajouter des listes de blocages IP via l'interface, mais cela reste possible en bricolant en mode console les fichiers de config...

Ma nouvelle liste de blocage est rafraîchi toutes les heures et elle est déjà utilisée :)
Techniquement mon firewall gère les listes de blocage IP via des listes Ipset.

C'est assez simple de modifier cette liste si besoin (enlever un ban) au niveau du container qui héberge Nginx/fail2ban.

loganalyzer.png
 
Et sinon, pas envie de mettre en place crowdsec? 😁
Je l'avais testé mais j'ai laissé tombé, je ne sais plus trop pourquoi :) Je me souviens avoir pesté contre le dashboard qui nécessitait d'installer Java...

J'ai testé aussi le tout nouveau 'reaction' écrit en Go (encore en dev), même principe que Fail2ban mais config plus simple avec un seul fichier en yml, json ou jsonnet.

Je testerais Crowdsec peut-être à nouveau sur un container Debian avec un serveur rsyslog pour recevoir les logs de Nginx.

Je commence à bien connaitre fail2ban maintenant et on trouve énormément de littérature sur le net. Je suis assez restrictif dans mes règles : par exemple je banni direct les tentatives de type 'mirai', 'owa'...
Mon objectif reste de bloquer en amont au niveau de mon firewall (c'est son boulot) en alimentant une blacklist perso.
 
L'avantage de Crowdsec c'est que d'une certaine manière tu bénéficies des blacklists perso des copains.
Oui c'est vrai, le principe de Crowdsec est intéressant.

Par contre comme je l'ai précisé, j'ai déjà un firewall en amont (juste derrière ma box) qui me bloque 90% des IP malveillante via des mega liste interne mise à jour automatiquement par le firewall.
Je ne souhaite pas gérer le blocage au niveau du reverse proxy, mais en amont au niveau du firewall.
Je me suis pas penché assez sur Crowdsec, pour voir si on pouvait scripter les actions de ban et changer son fonctionnement de base.

A ce que j'ai compris de Crowdsec, un ban chez un client ne vas pas forcement se propager sur tous les clients. Ils ont un algorithme interne qui valide les ban avant de les propager sur tous les clients (pour ne pas blacklister à tord).

Crowdsec risque de faire double emploi sur une majeur partie des IP bloquée par mon firewall.
 
Je me suis pas penché assez sur Crowdsec, pour voir si on pouvait scripter les actions de ban et changer son fonctionnement de base.
C'est tout a fait possible de remonter les infos de crowdsec sur d'autres machines comme des routeurs ,.. C'est même mieux cela permet de bloquer a l'entrée du réseau directement
 
  • J'aime
Réactions: Bambusa29 et Eirikr70
J'avais vu que Crowdsec avait un plugin pour les remontés vers OpenSense mais pas pour le mien : IPFire.

@EVO et @Eirikr70 Comme vous semblez être des pro de Crowdsec : Arrive t-il a détecter et bloquer temporairement les scans avec IP glissant venant d’hébergement Cloud ?
J'ai eu le cas hier avec un scan venant du cloud Alibaba avec un IP glissant entre chaque requête :oops: Du coup fail2ban a bien détecté à chaque fois mais n'a jamais bloqué car l'IP changeait a chaque fois (mais venant du même réseau). Le gars a utilisé comme même une 20 d'IP pour son scan.
 
Arrive t-il a détecter et bloquer temporairement les scans avec IP glissant venant d’hébergement Cloud ?
Oui, et non
En fait s'il ne s'amuse a cela que sur toi, alors cela ne va rien faire. Par contre s'il s'amuse a cela sur plusieurs personnes qui utilisent également crowdsec, l'IP va passer en "non fiable", et sera temporairement bloquée.
 
  • J'aime
Réactions: Bambusa29