OSSEC : 2.7 et interface Web ANALOGI
OSSEC : 2.7 et interface Web ANALOGI jppNote 2019 : La version décrite ici est ancienne et incompatible avec les version récentes (>2.9) de Ossec, il est possible d'utiliser la version décrite ici pour Ossec >= 3.0.
En installant la nouvelle version 2.7 j'ai cherché un interface Web un peu plus "sexy" que l'ancien interface d'OSSEC. En cherchant un peu je suis tombé sur AnaLogi et j'ai décidé de le tester, mais comme indiqué dans l'article précédent pas de PostgreSql avec AnaLogi.
Note 2018, Analogi n"est plus compatible avec les versions de OSSEC >= 2.9.3, voir ici.
On le trouve à l'URL suivante : https://github.com/ECSC .
L'installation est assez simple, on dézippe le machin dans un coin et on se débrouille pour que Apache soit capable de le trouver (si vous préférez Nginx cela ne devrait pas poser de problèmes).
Ajouter dans "sites-available" le fichier "ANALOGI" contenant :
<VirtualHost 127.0.0.1:83>
ServerAdmin webmaster@localhost
ServerName analogi.xxxx.xxx
Include /etc/apache2/sites-available/ANALOGI_body
</VirtualHost>
L'adresse en 127.0.0.1 est due à l'utilisation de "haproxy" pour aiguiller les requêtes, vous pouvez bien entendu mettre directement une adresse visible de l'extérieur.
Le fichier ANALOGI_body contient :
# "Body" du site AnaLogi
DocumentRoot /opt/AnaLogi
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /opt/AnaLogi>
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all
</Directory>
DirectoryIndex index.php
ErrorLog /var/log/apache2/ANALOGI_error.log
# Possible values include: debug, info, notice, warn, error, crit,
# alert, emerg.
LogLevel warn
LogFormat "%{X-Forwarded-For}i %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" personnel
CustomLog /var/log/apache2/ANALOGI_access.log personnel
Créer ensuite le lien adéquat de "sites-enabled" vers "sites-available" et relancer Apache.
La page d'accueil présente dès le lancement un récapitulatif des résultats :
En bas les principaux "problèmes" rencontrés, ces liens sont cliquables et mènet à une page détail.
La recherche est donc très rapide.
La zone "Filters" permet de :
- Limiter la période,
- Effectuer une statistique par source (machine)
- Par chemin (répertoire d'origine des informations)
- Par niveau.
- Par règle.
La zone "Top Loc" donne la principale origine des messages. la zone "Rare" signale les événements un peu originaux qui peuvent être les plus intéressants.
Les liens cliquables mènent sur une page détail qui présente une courbe en fonction du temps et le détail des alertes en partie basse.
L'exemple affiché ici concerne des tentatives de relais de mail avec toujours le même emmerdeur qui veut envoyer un mail à "therichsheickc@yahoo.com" , la plupart des serveurs ne sont pas en relais ouvert ce genre de "truc" est donc un peu inutile.
La période d'affichage est réglée par défaut à 72 heures ce qui est beaucoup pour moi, mais il est très facile de modifier cette valeur :
Fichier = config.php
Ligne à modifier : "$glb_hours=72;"
Je l'ai mis à 12 heures ce qui me semble suffisant.
En bref je suis enchanté de cet interface qui simplifie grandement la vérification des anomalies interceptées par OSSEC, à utiliser et conseiller sans modération.
Analogi fonctionne encore en version 2.8.x de OSSEC.