Serveur de monitoring exemple (zabbix, shinken)

TPB01 · 07-03-2015 16:44:45

Bonsoir à tous !
S'il vous plait je voudrais savoir si avec un serveur de monitoring il est possible de savoir sur qu'elle site va un utilisateur en temps réelle. Bref un peu comme avec wireshark. Et entre ces deux serveurs lequel préférez vous et pour quoi ? Merci pour vos suggestions et réponses.

Dernière modification par TPB01 (08-03-2015 04:27:13)

Yzeew · 07-03-2015 18:33:15

Hi,
je ne connais aucun de deux, mais perso j'utilise fan qui est un excellent serveur de monitoring.

TPB01 · 07-03-2015 19:13:33

Salut à toi brother et merci ton post. S'il te plait est ce qu'il permet de voir en temps réelle les sites web consulté dans le réseau local comme wireshark ? Je voudrais un outil de supervision qui permette de voir en temps réelles les sites sur lesquels vont les utilisateurs comme wireshark le fait, et qui permette de faire des graphes où l'on peut voir qui consomme le plus de bande passante dans le réseaux par jour/mois/année. Existe t'il un outil à interface web dans ce sens à votre connaissance ? Merci pour vos suggestions.

Dernière modification par TPB01 (07-03-2015 22:06:34)

ZeR0-@bSoLu · 08-03-2015 00:43:50

je n'utilise aucun des deux , désolé

koorosh · 08-03-2015 11:06:20

Ce que tu cherches c'est simple smile mais à le déployer c'est autre chose ^^ .

Enfaite , j'utilise shinken pour superviser le matos ( serveur, poste de travail, charge reseau, etc ) mais pour surveiller les activités des users, la on sort de la supervision mais on entre dans de la surveillance dans le cadre de la securité informatique .

il y a beaucoup de solution :

première solution, plus simple mais qui demande des notion en python et en sécurité informatique, regexp : Installer un serveur OSSIM sur le site de alienvault.

l'autre solution un peu plus spartiate c'est , installation de snort avec tous les add-on pour optimiser le NIDS avec surtout un outils graphique pour tes alertes :

- Sguil
- Base
- snortby ( mon préféré)

Enfaite, c'est un NIDS / HIDS qui vont se charger de la surveillance / activité du réseau.

dans la catégorie tu as le vieux et célèbre Snort mais aussi un autre qui commence à concurrencer snort c'est SURICATA que je le trouve nettement meilleur que snort ( question de point de vue smile ) .

les alertes que tu parles afin d'etres avertit des activités des users se sont des signatures. Enfin je te conseil de visiter la doc de snort sur leur site ou même sur le site de ubuntu tout est bien expliqué.

Mais préparer toi en faire bcp d'install et de ré-install car les bugs lors d'une install sont nombreux alors hésite pas à faire des snapshots avec ton logiciel de virtualisation wink

Désoler des fautes d'ortographes.

IceF0x · 08-03-2015 12:25:39

Maintenant il existe des appliance qui font le job genre watchguard ce sont des firewall matériel qui font de genre de job, mais il faut faire passer tout le trafic par celui-ci.

azgarech · 08-03-2015 12:28:49

Utilises PFsense, avec ntopng par exemple et squid3

koorosh · 08-03-2015 16:10:25

Exact mais vaut mieux qu'il commence déja à mettre snort et q'il réussi à coder des signature ! c'est plus amusant et surtout c'est la base de toute surveillance quelque soit le système qu'on utilise et en plus on apprend tellement de chose et en plus c'est gratuit ^^ .

azgarech · 08-03-2015 16:38:32

Je préfère surricata à snort personnellement

Yzeew · 08-03-2015 18:10:39

TPB01 a écrit :

Salut à toi brother et merci ton post. S'il te plait est ce qu'il permet de voir en temps réelle les sites web consulté dans le réseau local comme wireshark ? Je voudrais un outil de supervision qui permette de voir en temps réelles les sites sur lesquels vont les utilisateurs comme wireshark le fait, et qui permette de faire des graphes où l'on peut voir qui consomme le plus de bande passante dans le réseaux par jour/mois/année. Existe t'il un outil à interface web dans ce sens à votre connaissance ? Merci pour vos suggestions.

Pas que je sache, mais j'utilise FAN pour la surveillance des processus, matériels..

IceF0x a écrit :

Maintenant il existe des appliance qui font le job genre watchguard ce sont des firewall matériel qui font de genre de job, mais il faut faire passer tout le trafic par celui-ci.

Oui c'est vrai aussi, mais il y a cette distro qui contient tout = > http://blog.securityonion.net/p/securityonion.html

Snort, Suricata, Bro, Sguil, Squert, Snorby, ELSA, Xplico, NetworkMiner, et d'autres tools .. Le seule inconvénient ( pour moi ) c'est qu'elle est basé sur

ubuntu !

Dernière modification par Yzeew (08-03-2015 18:12:28)

TPB01 · 09-03-2015 09:57:57

J'suis trop heureux, j'en n'ai les larmes aux yeux de tous ces postes. Mais j'ai pas un mot plus grand que grand merci !!!

Yzeew a écrit :

Le seule inconvénient ( pour moi ) c'est qu'elle est basé sur ubuntu !

ça n'en n'est pas un pour moi. Merci beaucoup beaucoup à toi pour cette info car j'ai beau cherché mais jamais rien vu de pareil à cette distro. Mais au fait je suis curieux de savoir pour quoi est ce un inconvénient pour toi.

koorosh · 09-03-2015 10:41:48

Derien wink par contre garde un peu de larme car il te reste le déploiement et la configuration ^^

Yzeew j'avais réussi à installer sur une Débian et c'est pour ca que j'ai posté " de faire des snapshots " ^^ pour qu'il puisse déboguer et non pas tout réinstaller tongue

Dernière modification par koorosh (09-03-2015 10:42:53)

TPB01 · 09-03-2015 11:08:41

En fait l'objectif ici n'est pas de surveiller des intrusions. Mais plutôt de savoir qui est entrain de partir ou est parti sur tel site ? Qui consomme le plus de bande passante dans mon réseau ? Avoir les états de ses informations en temps réelle, un peu ce que fait squid3. Et tout ça sur une même interface web. Mais si non je trouve Security Onion est bien adapté à cette demande avec les différents outils qu'il propose. Je vais regarder ça de prêt. Encore merci à toi Yzeew. @Koorosh Comment as tu réussi à installer PFsense sous Debian ? Puis le faire sur Ubuntu ?

Dernière modification par TPB01 (09-03-2015 15:08:09)

koorosh · 09-03-2015 18:49:01

pfsense est une distribution firewall/router d'ailleurs j'avais créé une procédure sur cette sollution: http://security-tux.blogspot.fr/2015/03 … timal.html

tu as aussi NFSEN qui est encore plus précis que ntopng smile
http://linuxtrack.net/viewtopic.php?id=596

Dernière modification par koorosh (09-03-2015 18:49:58)

TPB01 · 09-03-2015 21:13:09

Avec tout ça j'ai la solution à mon problème. Donc je me met au travail, je remue tout ça pour tirer ce qu'il me faut et découvrir le reste. Encore une fois de plus Merci à tous. Remarquez bien la majuscule sur le "M" et encore Bravo !

Dernière modification par TPB01 (09-03-2015 21:14:17)

Yzeew · 09-03-2015 23:22:34

TPB01 a écrit :

Mais au fait je suis curieux de savoir pour quoi est ce un inconvénient pour toi.

Alors, je ne suis pas fan d'Ubuntu à la base, mais ça empiré depuis que canonical décidait d'intégrer Unity pendant que Gnome finalisait Gnome Shell. Mais perso ces deux environnements graphique ne me plaisent pas. Ubuntu, au fil des versions devenait de plus en plus une usine à gaz, lourd à installer et encore plus lourd au fil du temps (comme microsoft windows), Unity intégrant dans son dash des résultats de recherches provenant d'Amazon qui m'ont fait purement et simplement oublier cette distro.

Mais, j'ai bizarrement décidé d'installer ubuntu et désinstaller simplement Unity, le système devient instable ce qui me fait penser que Unity est une composante intimement liée à Ubuntu. Concrètement, Ubuntu n’est plus la plateforme de choix lorsqu'on désire utiliser Gnome ou tout autre environnements graphique.. bref, c'est un système si je peux le dire presque propriétaire !

Il aussi, l'intégration de la publicité dans le dash Unity (même si c'est optionnel) devient potentiellement une atteinte à la vie privée, les faibles contributions de Canonical au Kernel Linux ( je pense que même Microsoft contribue plus que Canonical !) et Canonical ne contribue que rarement au développement du logiciel libre et j'en passe... bref, voilà pourquoi Ubuntu pour moi est un gros inconvénient !

koorosh a écrit :

Yzeew j'avais réussi à installer sur une Débian et c'est pour ca que j'ai posté " de faire des snapshots " ^^ pour qu'il puisse déboguer et non pas tout réinstaller

Oui je comprends tout à fait, j'imagine même pas le boulot que ça prend à réinstaller à plusieurs reprises tongue

Dernière modification par Yzeew (09-03-2015 23:26:51)

TPB01 · 12-03-2015 14:49:53

Salut à tous !
J'ai essayé avec AlienVault_OSSIM_64bits_4.15.2 qui est plutôt un bon outils. Mais il a l'inconvénient de ne pas capturer en live pendant le temps que nous voulons. Il limite le nombre de paquet de capture et du coup dès qu'il a atteint ce nombres de paquets, la capture s'arrête. Voici maintenant brièvement ma question : Y a t'il un outil pour faire exactement comme wireshark mais avec une interface web ?

Dernière modification par TPB01 (12-03-2015 16:50:51)

Yzeew · 13-03-2015 10:43:13

Le seul que je connais qui fait exactement (voir plus de chose que wireshark) mais disponible uniquement pour windows et destiné aux entreprise donc payant, c'est capsa de colasoft.

Pour AlienVault c'est tout à fait normal, car c'est un outil aussi payant, donc la version gratuite est limité.

TPB01 · 16-03-2015 11:59:18

Merci pour ce précieux conseil avisé. L'outil GFI webmonitor disponible uniquement pour windows est aussi adapté. cyberoam également. Donc il n'existe pas de solution gratuite. J'suis au moins ravis de savoir ça.

Dernière modification par TPB01 (16-03-2015 12:05:25)

azgarech · 16-03-2015 20:29:30

koorosh a écrit :

pfsense est une distribution firewall/router d'ailleurs j'avais créé une procédure sur cette sollution: http://security-tux.blogspot.fr/2015/03 … timal.html
tu as aussi NFSEN qui est encore plus précis que ntopng
http://linuxtrack.net/viewtopic.php?id=596

Je suis preneur de tes tutos sur Pfsense si ils sont disponible. Je joue pas mal avec mais si par hasard tu avais réussis à l'adapter avec ELK je suis preneur.

koorosh · 22-03-2015 11:17:13

azgarech a écrit :

Je joue pas mal avec mais si par hasard tu avais réussis à l'adapter avec ELK je suis preneur.

Je suis entrain actuellement d'essayer de le déployer sur ma debian 8 avec suricata mais je dois vous avouer que j'ai du mal, ce n'est pas facil smile

#1 07-03-2015 16:44:45

Serveur de monitoring exemple (zabbix, shinken)

#2 07-03-2015 18:33:15

Re : Serveur de monitoring exemple (zabbix, shinken)

#3 07-03-2015 19:13:33

Re : Serveur de monitoring exemple (zabbix, shinken)

#4 08-03-2015 00:43:50

Re : Serveur de monitoring exemple (zabbix, shinken)

#5 08-03-2015 11:06:20

Re : Serveur de monitoring exemple (zabbix, shinken)

#6 08-03-2015 12:25:39

Re : Serveur de monitoring exemple (zabbix, shinken)

#7 08-03-2015 12:28:49

Re : Serveur de monitoring exemple (zabbix, shinken)

#8 08-03-2015 16:10:25

Re : Serveur de monitoring exemple (zabbix, shinken)

#9 08-03-2015 16:38:32

Re : Serveur de monitoring exemple (zabbix, shinken)

#10 08-03-2015 18:10:39

Re : Serveur de monitoring exemple (zabbix, shinken)

#11 09-03-2015 09:57:57

Re : Serveur de monitoring exemple (zabbix, shinken)

#12 09-03-2015 10:41:48

Re : Serveur de monitoring exemple (zabbix, shinken)

#13 09-03-2015 11:08:41

Re : Serveur de monitoring exemple (zabbix, shinken)

#14 09-03-2015 18:49:01

Re : Serveur de monitoring exemple (zabbix, shinken)

#15 09-03-2015 21:13:09

Re : Serveur de monitoring exemple (zabbix, shinken)

#16 09-03-2015 23:22:34

Re : Serveur de monitoring exemple (zabbix, shinken)

#17 12-03-2015 14:49:53

Re : Serveur de monitoring exemple (zabbix, shinken)

#18 13-03-2015 10:43:13

Re : Serveur de monitoring exemple (zabbix, shinken)

#19 16-03-2015 11:59:18

Re : Serveur de monitoring exemple (zabbix, shinken)

#20 16-03-2015 20:29:30

Re : Serveur de monitoring exemple (zabbix, shinken)

#21 22-03-2015 11:17:13

Re : Serveur de monitoring exemple (zabbix, shinken)

Pied de page des forums