Salut à ceux qui liront ce post.
ça fait déjà quelqie temps que je suis à la recherche d’un bon analyseur/moteur de corrélation de logs, et je suis tombé sur ossim (ossim.net), qui a l’air pas mal du tout. Par contre, c’est très vaste, et j’ai encore du mal à le configurer, surtout les agents.
Il y a du monde par ici qui utilise réguliérement de logiciel et qui serait disponible pour répondre à quelques unes de mes questions ?
j’ai regardé, ca m’a l’air destiné à de la grosse infrastructure.
En monoposte il existe déjà des outils qui font du filtrage de logs, comme logcheck: même s’il ne fait pas de corrélation entre les logs, il permet d’eviter tout de même une bonne partie des “faux positifs”, avec une bonne config.
Ca n’est pas suffisant, pour toi ?
Ca me parait un peu lourd si l’on en a pas l’usage, ton OSSIM, mais interressant pour une ferme.
Justement, c’est pas pour une utilisation personnelle, et on utilise déjà des outils locaux, type logwatch, mais vu le nombre de serveurs et de firewall qu’on a actuellement, et qu’on va avoir bientot, ça commence à devenir vraiment lourd.