TDB-SSI Extension Logcheck
U n i v e r s i t é d e l a M é d i t e r r a n é e F a c u l t é d e M é d e c i n e Projet TDB-SSI Documentation du Tableau de Bord de Sécurité des Systèmes d Information Marseille, le 17/03/2009 Extension Logcheck Documentation du TDB-SSI Date : 17/03/09 Nom du fichier : TDB-SSI Extension Logcheck.pdf Nombre de pages : 9 Auteur(s) : Jean-marc Pelle Validation : Chef de projet (Philippe Tourron) Approbation : Équipe Projet TDB-SSI Licence de ce document : TDB-SSI Extension Logcheck by Université de la Méditerranée (CIGR - Faculté de Médecine de Marseille) est mis à disposition selon les termes de la licence Creative Commons Paternité-Pas d'utilisation Commerciale-Partage des Conditions Initiales à l'identique 2.0 France. Basé sur une oeuvre à infocigr.timone.univ-mrs.fr. Licence du logiciel TDB-SSI : Le logiciel TDB-SSI est régi par la licence CeCILL soumise au droit français et respectant les principes de diffusion des logiciels libres. CIGR Université de la Méditerranée 2 tdb-ssi@medecine.univmed.fr
Historique des modifications Date Objet de la modification Auteur(s) Statut 17/03/09 Création du document pour la diffusion de l application TDB-SSI Jean-Marc Pelle Validé Ce document a été réalisé dans le cadre du projet TDB-SSI Les commentaires et suggestions sont encouragés et peuvent être adressés à l'adresse suivante : tdb-ssi@medecine.univmed.fr CIGR Université de la Méditerranée 3 tdb-ssi@medecine.univmed.fr
Table des matières TDB-SSI 1.1 Extension Logcheck 1)Présentation de Logcheck...5 2)Installation de l'extension Logcheck dans le TDB-SSI...6 2.1)Pré-requis...6 2.2)Installation de l'extension...6 2.2.1)Installation sur le serveur de collecte...6 2.2.2)Installation sur le serveur WEB...6 2.2.3)Création d' indicateurs issus de Logcheck...6 3)Fonctionnement de l'extension Logcheck...7 4)Les éléments créés par l'extension Logcheck dans le tableau de bord...8 4.1)Le modèle d'indicateur : «Criticité du log»...8 4.2)La source «Logcheck»...9 4.3)Le sous-thème «Analyse des logs des moyens»...9 CIGR Université de la Méditerranée 4 tdb-ssi@medecine.univmed.fr
1) Présentation de Logcheck Logcheck est un outil disponible sur plateforme Linux. Il permet d'analyser des fichiers de log au format Syslog, de ne garder que les informations jugées importantes et de les trier par catégorie dans un rapport qu'il peut alors automatiquement envoyer par mail. Les règles de filtrage sont établies à partir d'une base de connaissance interne à Logcheck ainsi que par des exceptions pouvant être paramétrées par l'utilisateur. En installant un serveur Syslog sur le serveur de collecte, ce dernier est capable de recevoir, sauvegarder et trier les logs d'autres serveurs. Une analyse régulière de ces logs via Logcheck permet ainsi d'être alerté en cas d'évènement important journalisé sur un des serveurs audités. CIGR Université de la Méditerranée 5 tdb-ssi@medecine.univmed.fr
2) Installation de l'extension Logcheck dans le TDB-SSI 2.1) Pré-requis Disposer d'une version de TDB-SSI supérieure ou égale à 1.1 RC1 Le serveur de collecte du tableau de bord doit posséder un serveur syslog afin de recevoir les logs de machines clientes. Ces logs doivent être stockés dans un répertoire dédié. Les fichiers de log devront être nommés <adresse_ip_de_la_machine_cliente>.log Logcheck doit être installé et paramétré sur le serveur de collecte. 2.2) Installation de l'extension 2.2.1) Installation sur le serveur de collecte Copier le fichier nommé logchk1.php fourni dans ce package sur le serveur de collecte dans le répertoire tdb-collecte/sources. Éditer le fichier logchk1.php en renseignant la variable suivante : $rep_log : Chemin du répertoire où sont stockés les logs 2.2.2) Installation sur le serveur WEB Copier le fichier nommé plg-logchk.php fourni dans ce package sur le serveur WEB du tableau de bord dans le répertoire tdb-web/site/plugins. Créer une extension dont le code est 'logchk' et le libellé est 'Logcheck' via le menu d'administration générale de l'interface WEB du TDB-SSI. Activer l'extension Logcheck dans le menu d'administration du SI de l'interface WEB. 2.2.3) Création d' indicateurs issus de Logcheck Créer dans le tableau de bord tous les moyens qui renvoient des logs au serveur de collecte via l'interface WEB. Pour chaque moyen renvoyant des logs, créer un indicateur de criticité de log via l'interface web du TDB-SSI: Administration du SI Indicateurs Ajouter un indicateur à partir d'un modèle. CIGR Université de la Méditerranée 6 tdb-ssi@medecine.univmed.fr
3) Fonctionnement de l'extension Logcheck Nous allons utiliser logcheck pour créer un rapport sur un log, c'est à dire un résumé des messages importants présents dans les logs de chaque serveur audité. Dans chaque rapport, Logcheck classe les messages en trois catégories: System Events Security Events Attack Alert Un traitement sur ces rapports pourra nous permettre d'attribuer un indice de criticité au log. Si un événement classé «Attack Alert» est présent dans le log, ce dernier a une criticité de 3. Si un événement classé «Security Event» est présent dans le log, ce dernier a une criticité de 2. Si un événement classé «System Event» est présent dans le log, ce dernier a une criticité de 1. Si le rapport ne contient aucun message, le log a une criticité de 0. CIGR Université de la Méditerranée 7 tdb-ssi@medecine.univmed.fr
4) Les éléments créés par l'extension Logcheck dans le tableau de bord 4.1) Le modèle d'indicateur : «Criticité du log» L'extension Logcheck crée un modèle d'indicateur dont le libellé est «Criticité du log». Chaque indicateur de moyen créé à partir de ce modèle aura donc pour valeur la criticité du rapport généré par Logcheck. Le rapport lui-même est également sauvegardé dans la base de données et sera visible pour chaque indicateur via l'interface WEB du TDB-SSI. Libellé Propriétés de l'indicateur issu du modèle «Criticité du log» Propriétés de l'indicateur Description Criticité du log Valeurs des propriétés Indice de criticité du rapport de Log de Logcheck Commentaire Signification des valeurs : 0 = Aucun événement / 1 = Evénement Système / 2 = Evénement de Sécurité / 3 = Alerte d'attaque Indice de l'alarme 2 (Alarme moyenne de couleur orange) Seuil de l'alarme Valeur supérieure à 1 Type de la valeur Entier (0,1,2 ou 3) Niveau de visibilité Représentation graphique par défaut Durée d' historisation Unité Valeur cible 0 Génération de rapport Envoi d'un courriel en cas d'alarme Priorité d'affichage 1 Méthode de sauvegarde Indice de confidentialité 0 Opérationnel Courbe 6 mois Aucune Oui Oui Normale CIGR Université de la Méditerranée 8 tdb-ssi@medecine.univmed.fr
4.2) La source «Logcheck» TDB-SSI 1.1 Extension Logcheck Propriétés de la source Valeurs des propriétés Numéro de la source 1 Libellé de la source Logcheck Description de la source Analyse des logs Collecte nocturne Non Périodicité de collecte Toutes les heures 4.3) Le sous-thème «Analyse des logs des moyens» Propriétés du sous-thème Valeurs des propriétés Numéro du sous-thème 1 Libellé du sous-thème Analyse des logs des moyens CIGR Université de la Méditerranée 9 tdb-ssi@medecine.univmed.fr