Documentation

Suivi des logs

Lorsque les logs d’une application sont configurés sur un Elasticsearch ou un Mongo, il est possible de les analyser depuis la page de gestion des logs. On peut également configurer Vulture pour que les logs générés par Packet Filter soit également envoyé dans un repository.

monitoring-suivi-des-logs-1

Toutes les commandes se trouvent sur la barre du haut.

Dans l’ordre:

  • Recherche : Affiche le modal de recherche.
  • Real Time : Permet d’activer l’affichage des logs en temps réel.
  • Configuration : Affiche le modal permettant la configuration (Liste des champs à afficher…).
  • Date : Permet de choisir une date de début et de fin
  • Requête : Affiche la requête de recherche en cours.
  • Export to csv file : Exporte le résultat de la requête dans un fichier CSV.
  • Reset : Réinitialise la recherche.
  • Exécute : Execute la recherche.
  • Save as dataset : Sauvegarde le résultat de la recherche dans un dataset en vue de la détection d’anomalies .

Lors d’un clic sur une ligne, tout le détail des logs apparaît, soit en dessous de la ligne, soit sur le côté droit de la fenêtre, en fonction de la configuration choisie. Dans le détail, il est possible de cliquer sur certains champs, ce qui définira immédiatement une recherche à effectuer.

monitoring-suivi-des-logs-5

La fenêtre de recherche permet la préparation et l’exécution de recherches poussées sur les logs.

  • Saved query : Permet de récupérer une recherche sauvegardée ultérieurement.
  • Type logs : Défini le type de logs à chercher.
  • Application : Choisir les logs d’une application.
  • Recherche : Contrôle de recherche poussée.
  • Requête : Prévisualisation de la requête en SQL.
  • Search name : Permet d’ajouter, modifier ou supprimer une recherche.

Dans cet exemple, une recherche est effectuée sur le champs ‘HTTP code’ avec la valeur ‘200’.

monitoring-suivi-des-logs-6

La fenêtre de configuration permet à l’utilisateur de façonner l’interface. Cette fenêtre permet d’afficher ou non des colonnes dans la liste. On peut également configurer la fenêtre de recherche pour qu’elle se ferme automatiquement lorsqu’on exécute une recherche. Le dernier paramètre permet d’afficher le détail d’une ligne de logs sur le côté droit de la fenêtre lorsqu’on clic sur l’une des lignes de log.

monitoring-suivi-des-logs-2

Un clic droit est possible sur les lignes de logs, si le type de logs sélectionné est “Security”. Un menu apparaît, la première entrée ouvre une fenêtre de création de règles ModSecurity Blacklist/Whitelist, l’autre permet de rechercher des règles existantes liées à la ligne de logs sélectionnée.

Si le type de logs sélectionné est “Access” ou que les données viennent de Packet Filter, un clic droit permet d’ajouter l’adresse IP directement dans la Blacklist du Firewall Packet Filter.

Plusieurs onglets sont présents sur cette page, et permettent de définir les règles mod security de Blacklisting ou de Whitelisting.

  • Active : Permet d’activer ou non la règle
  • Condition : If / If no. Contrôle booléen.
  • Value : Valeur que mod security cherchera dans les requêtes
  • Control : Défini la nature du contrôle à réaliser
  • Field : Défini le champ à vérifier
  • Action : Ajoute la règle dans la Blacklist ou dans la Whitelist

monitoring-suivi-des-logs-3

Dans cet exemple, on peut voir que la règle générée bloquera toute requête qui contiendra la valeur <script>alert('hello world')</script> dans le champs login sur une requête possédant des données de type GET. Une fois les règles ajoutées, un lien apparaît en haut de la page pour pouvoir recharger la configuration de l’application concernée pour que les règles soient prises en compte par Apache. La deuxième entrée dans le menu contextuel ‘Find related rules’ permet d’afficher toutes les règles précédemment ajoutées pour pouvoir les éditer ou les supprimer.

monitoring-suivi-des-logs-1

Une fois qu’une règle a été modifiée, le bouton pour recharger la configuration de l’application apparaît. Les règles Blacklist / Whitelist sont également éditables dans la page Règles de sécurité.