[Admin-ml] Conservation des Logs et loi janvier 2006
Jean-Luc Bailloeul
jlbailloeul at irtsnpdc.fr
Mer 11 Mar 15:25:29 CET 2009
Salut JP,
Le 11 mars 09 à 13:27, Jean-Pierre Bouville a écrit :
> Salutà tous,
> je ressors un peu ce fil car il est important.
> Quid de l'article ?
Je n'ai pas encore trouvé de solution à mon problème de parsing DHCP.
Donc pour l'instant mon projet est un peu en stand-by, et l'article
aussi.
>
> Une question, mes routeurs m'envoient journellement les logs des
> forwards et bien entendu, certains postes ne sont pas
> "monitorés" (genre direction...). Comment se mettre à l'abris de ce
> genre "d'oubli volontaire" ?
Si je comprends le sens de ta question, cela va justement complètement
dans le sens de mon problème :
"
> Il me reste cependant un problème.
> Le serveur Radius ne loggue pas le adresses IP des utilisateurs,
> dans la mesure ou le service est fourni par le serveur (DHCP).
> Il me faut donc un script qui parse les logs DHCP et renseigne la
> base mysql d'accouting.
> Pis encore ce script doit être un daemon, pour logguer en temps réel
> les adresses IP."
Mon problème est que mes DHCP (j'ai plusieurs sites) ne sont pas
statiques, je n'ai pas le moyen de confronter l'adresse ip à un
utilisateur.
il est possible cependant de parser les logs DHCP en fonction de la
date, l'heure ou l'@ MAC pour renseigner la base sql du radius.
ce qui dans la base donne : tel personne s'est authentifiée à telle
heure, avec telle machine, avec telle @IP.
En tenant cette base, et en conservant les logs du Firewall, je suis
en mesure de fournir les informations qui pourraient m'être demandées,
en cas d'enquête.
Donc j'ai réussi à mettre en oeuvre FreeRadius, mais pas sans mal :
installation via macport, ainsi que les librairies dev et le serveur
mysql par le même procédé.
Il me reste maintenant à comprendre syslog-ng, à le mettre en oeuvre
sans casser mes servers OS X.3.
@ suivre,
Jean-Luc
PS : tu dis "certains postes ne sont pas "monitorés" ", comment fais-
tu pour monitorer les autres ?
>
> à +
> JP
> ----------------------------------
> JP sur jpblcm at jpblcm.com
> avant d'imprimer... pensez à l'environnement.
>
>
>
> Le 15 déc. 08 à 18:29, Jean-Luc Bailloeul a écrit :
>
>> Salut Jayce,
>>
>> En effet, nul n'est sensé ignorer la loi, et la conservation des
>> logs concerne maintenant au final toute structure offrant un accès
>> internet.
>> Cela arrange évidemment les fournisseurs d'appliance
>> d'authentification.
>>
>> Mais ok, j'essaierai de synthétiser mes notes pour en faire un
>> article.
>> Mes recherches m'amènent pour l'instant à considérer l'utilisation
>> de syslog-ng, qui permet l'extraction et la centralisation des logs
>> et peut alimenter une base sql.
>> mais la bête a pas l'air simple à dompter.
>>
>> Jean-Luc
>>
>> Le 15 déc. 08 à 11:00, Piel Jayce a écrit :
>>
>>> Le 13 déc. 08 à 11:00, Jean-Luc Bailloeul a écrit :
>>>
>>>> Je me sens un peu seul pour le coup.
>>>
>>>
>>> J'avoue que je ne me suis jamais posé la question, mais je pense
>>> que c'est pourtant toi qui a raison de te la poser... :-)
>>>
>>> Du coup, je ne peux pas t'aider sur le coup, mais je te serai
>>> grandement reconnaissant de faire un article expliquant en détail
>>> la configuration que tu mets en place, les problèmes rencontrés
>>> et solutions mises en place...
>>>
>>> --
>>> Jayce Piel
>>> MosX.org
>>> la renaissance.....
>>>
>>>
>>> _______________________________________________
>>> Admin-ml mailing list
>>> Admin-ml at mosx.org
>>> http://coruscant.mosx.org/mailman/listinfo/admin-ml
>>>
>>
>> _______________________________________________
>> Admin-ml mailing list
>> Admin-ml at mosx.org
>> http://coruscant.mosx.org/mailman/listinfo/admin-ml
>
> _______________________________________________
> Admin-ml mailing list
> Admin-ml at mosx.org
> http://coruscant.mosx.org/mailman/listinfo/admin-ml
>
Plus d'informations sur la liste de diffusion Admin-ml