[Admin-ml] Conservation des Logs et loi janvier 2006

Jean-Luc Bailloeul jlbailloeul at irtsnpdc.fr
Mer 11 Mar 15:25:29 CET 2009


Salut JP,

Le 11 mars 09 à 13:27, Jean-Pierre Bouville a écrit :

> Salutà tous,
> je ressors un peu ce fil car il est important.
> Quid de l'article ?
Je n'ai pas encore trouvé de solution à mon problème de parsing DHCP.  
Donc pour l'instant mon projet est un peu en stand-by, et l'article  
aussi.

>
> Une question, mes routeurs m'envoient journellement les logs des  
> forwards et bien entendu, certains postes ne sont pas  
> "monitorés" (genre direction...). Comment se mettre à l'abris de ce  
> genre "d'oubli volontaire" ?
Si je comprends le sens de ta question, cela va justement complètement  
dans le sens de mon problème :
"
> Il me reste cependant un problème.
> Le serveur Radius ne loggue pas le adresses IP des utilisateurs,  
> dans la mesure ou le service est fourni par le serveur (DHCP).
> Il me faut donc un script qui parse les logs DHCP et renseigne la  
> base mysql d'accouting.
> Pis encore ce script doit être un daemon, pour logguer en temps réel  
> les adresses IP."

Mon problème est que mes DHCP (j'ai plusieurs sites) ne sont pas  
statiques, je n'ai pas le moyen de confronter l'adresse ip à un  
utilisateur.
il est possible cependant de parser les logs DHCP en fonction de la  
date, l'heure ou l'@ MAC pour renseigner la base sql du radius.
ce qui dans la base donne : tel personne s'est authentifiée à telle  
heure, avec telle machine, avec telle @IP.
En tenant cette base, et en conservant les logs du Firewall, je suis  
en mesure de fournir les informations qui pourraient m'être demandées,  
en cas d'enquête.

Donc j'ai réussi à mettre en oeuvre FreeRadius, mais pas sans mal :  
installation via macport, ainsi que les librairies dev et le serveur  
mysql par le même procédé.
Il me reste maintenant à comprendre syslog-ng, à le mettre en oeuvre  
sans casser mes servers OS X.3.

@ suivre,
Jean-Luc

PS : tu dis "certains postes ne sont pas "monitorés" ", comment fais- 
tu pour monitorer les autres ?

>
> à +
> JP
> ----------------------------------
> JP sur jpblcm at jpblcm.com
> avant d'imprimer... pensez à l'environnement.
>
>
>
> Le 15 déc. 08 à 18:29, Jean-Luc Bailloeul a écrit :
>
>> Salut Jayce,
>>
>> En effet, nul n'est sensé ignorer la loi, et la conservation des  
>> logs concerne maintenant au final toute structure offrant un accès  
>> internet.
>> Cela arrange évidemment les fournisseurs d'appliance  
>> d'authentification.
>>
>> Mais ok, j'essaierai de synthétiser mes notes pour en faire un  
>> article.
>> Mes recherches m'amènent pour l'instant  à considérer l'utilisation  
>> de syslog-ng, qui permet l'extraction et la centralisation des logs  
>> et peut alimenter une base sql.
>> mais la bête a pas l'air simple à dompter.
>>
>> Jean-Luc
>>
>> Le 15 déc. 08 à 11:00, Piel Jayce a écrit :
>>
>>> Le 13 déc. 08 à 11:00, Jean-Luc Bailloeul a écrit :
>>>
>>>> Je me sens un peu seul pour le coup.
>>>
>>>
>>> J'avoue que je ne me suis jamais posé la question, mais je pense  
>>> que c'est pourtant toi qui a raison de te la poser... :-)
>>>
>>> Du coup, je ne peux pas t'aider sur le coup, mais je te serai  
>>> grandement reconnaissant de faire un article expliquant en détail  
>>> la configuration que tu mets en place, les problèmes  rencontrés  
>>> et solutions mises en place...
>>>
>>> -- 
>>> Jayce Piel
>>> MosX.org
>>> la renaissance.....
>>>
>>>
>>> _______________________________________________
>>> Admin-ml mailing list
>>> Admin-ml at mosx.org
>>> http://coruscant.mosx.org/mailman/listinfo/admin-ml
>>>
>>
>> _______________________________________________
>> Admin-ml mailing list
>> Admin-ml at mosx.org
>> http://coruscant.mosx.org/mailman/listinfo/admin-ml
>
> _______________________________________________
> Admin-ml mailing list
> Admin-ml at mosx.org
> http://coruscant.mosx.org/mailman/listinfo/admin-ml
>




Plus d'informations sur la liste de diffusion Admin-ml