[Analyse des logs système avec Tenshi – Partie 1] Introduction et installation

Par Rédaction, secuobs.com
Le 07/04/2008

---

Résumé : L'analyse des fichiers de logs est un bon compromis à l'absence régulière de considération dans les entreprises pour ces fichiers qui contiennent de nombreuses informations vitales en vue de protéger les systèmes vis à vis des intrusions réalisées par les pirates à l'intérieur même des réseaux. - Lire l'article



NDLR : ce document a été rédigé en 2006, certaines versions ainsi que certaines configurations des logiciels utilisés selon ces versions peuvent être différentes de celles qui sont mentionnées ; merci de vous reporter vers les sites officiels des projets en question en cas de problème.


Dédier une personne à cette analyse n'étant pas chose facilement réalisable économiquement dans bon nombre d'entreprises, la mise en place de logiciels qui automatisent au mieux ce traitement est un moindre mal à condition bien sûr que le nombre d'informations reportées reste dans les limites du raisonnable tout en gardant l'aspect qualitatif des alertes qui seront remontées ; ce qui nécessite une configuration fine et donc souvent complexe à mettre en oeuvre.

LogWatch ( lien ), Logsentry ( lien ), Logcheck ( lien ) et Swatch ( lien ) sont les plus connues de ces solutions dans le monde du libre ; nous vous proposons à travers ce document de découvrir Tenshi ( lien ), un analyseur de ce type anciennement connu sous le nom de Wasabi.

Tenshi offre de multiples fonctionnalités : rapports par email, capacité de traitement importante, utilisation d'expressions régulières (regexp perl), mise en place d'exception et de filtrage.

Ces fonctionnalités sont alliées à une installation des plus simples et une souplesse de configuration qui ravira les plus rétissants à ce genre d'applicatifs : fichier unique basé sur un concept d'objets ou de groupe d'objets, syntaxe intuitive et « crontab » interne.

A noter également le peu de ressources nécessaires à cette analyse d'où la possibilité de traiter de multiples fichiers présentant un grand nombre d'enregistrements.

D'un point de vue technique, il est tout d'abord nécessaire de récupérer l'archive de la dernière version stable disponible sur le site de gentoo ( lien ) ; lors de la Rédaction de ce document cette version était la 0.4. Les autres versions sont également mises en téléchargement depuis le site officiel ( lien

root@ns30074:~ # wget lien
--01:03:14-- lien
=> `tenshi-latest.tar.gz'
Résolution de www.gentoo.org... 38.99.64.201, 66.219.59.46, 66.241.137.77
Connexion vers www.gentoo.org[38.99.64.201]:80...connect
requête HTTP transmise, en attente de la réponse...302 Found
Emplacement: lien [suivant]
--01:03:16-- lien
=> `tenshi-latest.tar.gz'
Résolution de dev.gentoo.org... 140.211.166.183
Connexion vers dev.gentoo.org[140.211.166.183]:80...connect
requête HTTP transmise, en attente de la réponse...200 OK
Longueur: 19,220 [application/x-gzip]

100%[==========>] 19,220 71.91K/s

01:03:17 (71.66 KB/s) - tenshi-latest.tar.gz sauvegardé [19220/19220]


Tenshi est un programme reposant sur le langage PERL ; pour l'envoi des rapports par email, il nécessite l'installation préalable du module additionnel « Net::SMTP ».

Ce module fournit une API au protocole SMTP en ce sens ; son installation peut être réalisée via un autre module qui permet d'accéder à l'archive CPAN (Comprehensive PERL Archive Network) regroupant l'ensemble des modules homologués PERL ainsi que leurs différentes documentations.

Pour lancer la connexion à CPAN :

root@ns30074:~/tenshi-0.4 # perl -e shell -MCPAN

cpan shell -- CPAN exploration and modules installation (v1.7601)
ReadLine support available (try 'install Bundle::CPAN')


Pour les néophytes à l'utilisation du module CPAN, vous pouvez récupérer et consulter, si vous le souhaitez, des informations relatives au module « Net::SMTP » grâce à la commande suivante :

cpan> i Net::SMTP
CPAN: Storable loaded ok
Going to read /root/.cpan/Metadata
Database was generated on Tue, 20 Sep 2005 01:59:21 GMT
CPAN: LWP::UserAgent loaded ok
Fetching with LWP:
lien ftp externe url:lien
Going to read /root/.cpan/sources/authors/01mailrc.txt.gz
CPAN: Compress::Zlib loaded ok

Fetching with LWP:
lien ftp externe url:lien
Going to read /root/.cpan/sources/modules/03modlist.data.gz
Going to write /root/.cpan/Metadata
Strange distribution name [Net::SMTP]
Module id = Net::SMTP
DESCRIPTION Interface to Simple Mail Transfer Protocol
CPAN_USERID GBARR (Graham Barr )
CPAN_VERSION 2.29
CPAN_FILE G/GB/GBARR/libnet-1.19.tar.gz
DSLI_STATUS adpf (alpha,developer,perl,functions)
MANPAGE Net::SMTP - Simple Mail Transfer Protocol Client
INST_FILE /usr/share/perl/5.8/Net/SMTP.pm
INST_VERSION 2.26


L'installation du module est à réaliser de la manière suivante :

cpan> install Net::SMTP
Running install for module Net::SMTP
.........
/usr/bin/make install -- OK


On peut constater que l'installation a été correctement effectuée ; on peut maintenant se déconnecter de CPAN :

cpan> exit


Intéressons-nous à l'archive de Tenshi que nous avons précédemment récupérée ; en premier lieu décompressez la tout en réalisant son désarchivage :

root@ns30074:~ # tar -zxvf tenshi-latest.tar.gz
tenshi-0.4/
tenshi-0.4/tenshi.debian-init
tenshi-0.4/Makefile
tenshi-0.4/LICENSE
tenshi-0.4/README
tenshi-0.4/tenshi.conf
tenshi-0.4/tenshi.8
tenshi-0.4/tenshi
tenshi-0.4/tenshi.gentoo-init
tenshi-0.4/INSTALL
tenshi-0.4/tenshi.ebuild
tenshi-0.4/Changelog
tenshi-0.4/COPYING
tenshi-0.4/tenshi.solaris-init
tenshi-0.4/CREDITS


Accédez ensuite au répertoire ainsi récemment créé et contenant les fichiers nécessaires à l'installation de l'application :

root@ns30074:~ # cd tenshi-0.4/


Listez le répertoire pour prendre connaissance de son arborescence :

root@ns30074:~/tenshi-0.4 # ls

Changelog CREDITS LICENSE README tenshi.8 tenshi.debian-init tenshi.gentoo-init
COPYING INSTALL Makefile tenshi tenshi.conf tenshi.ebuild tenshi.solaris-init


Les deux opérations suivantes consistent à créer un utilisateur « tenshi » et un groupe du même nom qui régiront l'exécution de Tenshi sur votre système :

root@ns30074:~/tenshi-0.4 # useradd tenshi

root@ns30074:~/tenshi-0.4 # groupadd tenshi


Avant de procéder à l'installation proprement dite, il est nécessaire, suivant le système d'exploitation et la distribution qui y sont présents, d'ajuster la configuration du fichier « Makefile » ; il a été pour ma part nécessaire de changer le chemin d'installation des pages de manuel en modifiant la ligne numéro 9 du fichier sur une « debian-like » :

root@ns30074:~ # updatedb | locate "man8/" | more
/usr/share/man/man8/update-passwd.8.gz

root@ns30074:~/tenshi-0.4 # vi Makefile


Remplacer « mandir = /usr/man » par « mandir = /usr/share/man/ ».

Vous pouvez maintenant installer Tenshi sur le système :

root@ns30074:~/tenshi-0.4 # make install
install -D tenshi /usr/sbin/tenshi
[ -f /etc/tenshi/tenshi.conf ] || \
install -g root -m 0644 -D tenshi.conf /etc/tenshi/tenshi.conf
install -d /usr/share/doc/tenshi-0.4
install -m 0644 README INSTALL CREDITS LICENSE COPYING Changelog /usr/share/doc/tenshi-0.4/
install -g root -m 0644 tenshi.8 /usr/share/man//man8/
install -g root -m 755 -d /var/lib/tenshi


Autres ressources dans ce dossier :

[Analyse des logs système avec Tenshi – Partie 2] Configuration (1) – lien

[Analyse des logs système avec Tenshi – Partie 3] Configuration (2) – lien

[Analyse des logs système avec Tenshi – Partie 4] Utilisation et conclusion – lien