Exostats/Exoscan |
Nombre de tests inclus
|
24271
|
|
Tests ajoutés |
Aujourd'hui |
Ce
mois |
10 |
309 |
|
|
[Analyse des logs système avec Tenshi – Partie 2] Configuration (1)
Par Xavier Poli,
secuobs.com
Le 07/04/2008
Résumé : Dissection du fichier de configuration partie par partie afin de comprendre les tenants et les aboutissants du fonctionnement de Tenshi, ce qui nous permettra également de faire la connaissance des mécanismes qui régissent l'analyse des logs.
NDLR : ce document a été rédigé en 2006, certaines versions ainsi que certaines configurations des logiciels utilisés selon ces versions peuvent être différentes de celles qui sont mentionnées ; merci de vous reporter vers les sites officiels des projets en question en cas de problème.
Une fois l'installation réalisée, nous pouvons passer à l'étape suivante, à savoir la configuration : celle-ci s'opère par l'intermédiaire d'un fichier unique dénommé « tenshi.conf » et présent sous le chemin « /etc/ tenshi/tenshi.conf »
root@ns30074:~/tenshi-0.4 # vi /etc/tenshi/tenshi.conf
On retrouve en début de fichier les configurations dites « génériques » avec notamment le positionnement de l'utilisateur « tenshi » et du groupe « tenshi » précédemment évoqués, créés sur le système et qui seront les propriétaires des processus liés au lancement ultérieur de Tenshi :
##
## tenshi 0.4 sample conf
##
# general settings
set uid tenshi
set gid tenshi
La ligne de configuration suivante nécessite quelques ajustements, par défaut on trouve « set pidfile /var/run/tenshi.pid », or les fichiers régissant les PID sont localisés dans le répertoire « /var/run/ » qui appartient par défaut à l'utilisateur « root » :
ls -l /var/ | grep run
drwxr-xr-x 17 root root 4096 2006-06-16 07:57 run
Les opérations suivantes sont alors à réaliser pour résoudre ce problème :
- création d'un répertoire spécifique au PID de Tenshi,
root@ns30074:~/tenshi-0.4 # mkdir /var/run/tenshi
- positionnement des droits nécessaires à la création future des fichiers PID dans ce répertoire lors du lancement de Tenshi,
root@ns30074:~/tenshi-0.4 # chown tenshi:root /var/run/tenshi/
- vérification de la bonne tenue de l'opération précédente :
root@ns30074:~/tenshi-0.4 # ls -l /var/run/ | grep tenshi
drwxr-xr-x 2 tenshi root 4096 2006-06-16 01:49 tenshi
Il ne reste plus ensuite qu'à remplacer, dans le fichier de configuration, la ligne « set pidfile /var/run/tenshi.pid » par « set pidfile /var/run/tenshi/tenshi.pid » afin d'éviter les avertissements relatifs au problème évoqué lors des prochains lancements de Tenshi.
La suite de la configuration permet de définir les fichiers de logs qui vont être surveillés et dont les alertes vont vous être reportées ; par défaut on retrouve les deux lignes suivantes :
set logfile /var/log/messages
set logfile /var/log/mail.log
Idéalement, et à ajuster selon le contexte de votre distribution en ce qui concerne la gestion du « logging » des différents événements par « syslogd » ou autres, vous pouvez ajouter les lignes suivantes pour rendre cette liste la plus exhaustive possible et l'analyse plus efficace :
set logfile /var/log/syslog
set logfile /var/log/sulog
set logfile /var/log/user.log
set logfile /var/log/auth.log
Viennent maintenant quelques optimisations que vous pouvez laisser par défaut au contraire de la définition du serveur SMTP qui sera utilisé pour l'envoi des rapports si vous ne souhaitez pas utiliser celui par défaut tournant sur « localhost » donc localement :
set sleep 5
set limit 800
set pager_limit 2
set mask ___
set mailserver mail.infratech.fr
set subject Tenshi report
set hidepid on
Tenshi a la particularité singulière de ne pas utiliser la « crontab » du système pour son fonctionnement ; il est donc possible de configurer différents éléments d'automatisation directement dans le fichier « tenshi.conf » et cela selon plusieurs critères.
Les éléments de type « queue » sont à mettre en place via la syntaxe suivante : « set queue [] » ; le sujet par défaut est « tenshi report » si vous n'en précisez pas de spécifiques.
On peut voir ci-dessous 6 éléments configurant l'envoi depuis « webmaster@infratech.fr » vers « xavier.poli@infratech.fr » selon des fréquences et des périodes différentes dans la journée en fonction de leur criticité.
Pour l'élément « mail », envoi programmé à 18h30 d'un rapport et cela tous les jours :
set queue mail webmaster@infratech.fr xavier.poli@infratech.fr [30 18 * * *]
Pour l'élément « nf », envoi programmé toutes les trente minutes d'un rapport et cela tous les jours :
set queue nf webmaster@infratech.frt xavier.poli@infratech.fr [*/30 * * * *]
Pour l'élément « report », envois programmés toutes les 2 heures dans l'intervalle compris entre 9 heures et 17 heures d'un rapport et cela tous les jours :
set queue report webmaster@infratech.frt xavier.poli@infratech.fr [0 9-17/2 * * *]
Pour l'élément « misc », envois programmés dans les mêmes conditions que l'élément précédent :
set queue misc webmaster@infratech.fr xavier.poli@infratech.fr [0 9-17/2 * * *]
Pour l'élément « critical », envoi programmé immédiatement à chaque occurrence identifiée :
set queue critical webmaster@infratech.fr xavier.poli@infratech.fr [now]
Pour l'élément « root », envoi programmé immédiatement à chaque occurrence identifiée :
set queue root webmaster@infratech.fr xavier.poli@infratech.fr [now]
L'envoi des rapports vers des utilisateurs multiples est également possible à configurer ; il suffit pour cela de remplacer « xavier.poli@infratech.fr » par « xavier.poli@infratech.fr , root@infratech.fr » par exemple.
On trouve à la suite du fichier les exceptions qui permettront de ne pas reporter des informations ne présentant pas d'intérêt ; elles sont envoyées vers un élément « trash » qui ne fait pas parti de la « contrab » d'envoi des rapports :
trash ^hub.c
trash ^usb.c
trash ^uhci.c
trash ^sda
trash ^Initializing USB
trash ^scsi0 : SCSI emulation
trash ^Vendor:
trash ^Type:
trash ^Attached scsi removable
trash ^SCSI device sda
trash ^sda: Write
trash ^/dev/scsi
trash ^WARNING: USB
trash ^USB Mass Storage
trash ^/dev
trash ^ISO
trash ^floppy0
trash ^end_request
trash ^Directory
trash ^I/O error: dev 08:(.+), sector
Dans le même registre, on supprime les indications pour les répétitions des enregistrements :
repeat ^(?:last message repeated|above message repeats) (\\d+) time
Autres ressources dans ce dossier :
[Analyse des logs système avec Tenshi – Partie 1] Introduction et installation – lien http interne url:[click]
[Analyse des logs système avec Tenshi – Partie 3] Configuration (2) – lien http interne url:[click]
[Analyse des logs système avec Tenshi – Partie 4] Utilisation et conclusion – lien http interne url:[click]
| Mini-Tagwall des articles publiés sur SecuObs : | | | | sécurité, windows, exploit, réseau, vulnérabilité, système, attaque, microsoft, virus, audit, internet, présentation, fonction, données, linux, outil, bluetooth, shell, gestion, vista, trames, wishmaster, sysun, paquets, metasploit, téléphone, engineering, fonctions |
| Mini-Tagwall de l'annuaire video : | | | | virus, spyware, vmware, firmware, biometric, lockpicking, wimax, password, kernel, malware, spammer, windows, iphone, symantec, phish, knoppix, adware, security, botnet, linux, tutorial, cryptography, internet, attack, wireshark, server, virtual, metasploit, intel, openbsd, hitbsecconf2006, protect, jailbreak, norton, ubuntu, rootkit, exploit, samsung, hijackthis, screen, ettercap, fingerprint, vista, flash, drive |
| Mini-Tagwall des articles de la revue de presse : | | | | security, microsoft, windows, vulnérabilité, network, google, vulnerability, hacker, attack, inject, remote, mobile, server, exploit, apple, internet, iphone, black, yahoo, sécurité, malware, vista, intel, patch, crypt, drive, access, protect, virtual, laptop, linux, source, biometric, research, ebook, business, virus, office, phish, adobe, chine, facebook, opera, flash, wireless |
|
|
|
|
|
