Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Travaux pratiques – Localiser les fichiers journaux Introduction Au cours de ce

Travaux pratiques – Localiser les fichiers journaux Introduction Au cours de ces travaux pratiques, vous allez vous familiariser avec la localisation et la manipulation de fichiers journaux Linux. Ressources requises  Poste de travail virtuel CyberOps Partie 1 : Présentation des fichiers journaux Les fichiers journaux (ou journaux) sont des fichiers utilisés par les ordinateurs pour enregistrer les événements. Les logiciels, les processus d'arrière-plan, les services ou les transactions entre les services, y compris le système d'exploitation lui-même, peuvent générer des événements. Les fichiers journaux dépendent de l'application qui les génère. C'est au développeur de l'application de se conformer aux conventions de dénomination des fichiers journaux. La documentation du logiciel devrait inclure des informations sur ses fichiers journaux. Étape 1 : Exemple de fichier journal d'un serveur web Comme les fichiers journaux permettent essentiellement de suivre des événements spécifiques, le type d'informations stockées varie en fonction de l'application ou des services qui génèrent ces événements. a. Examinez l'entrée de journal unique ci-dessous. Elle a été générée par Apache, un serveur web très utilisé. [Wed Mar 22 11:23:12.207022 2017] [core:error] [pid 3548:tid 4682351596] [client 209.165.200.230] File does not exist: /var/www/apache/htdocs/favicon.ico L'entrée de journal ci-dessus représente l'enregistreur d'événements web d'Apache. Quelques éléments d'information sont importants dans les transactions web, y compris l'adresse IP du client, les date et heure, ainsi que les détails de la transaction. L'entrée ci-dessus peut être divisée en cinq parties principales : Horodatage : cette partie a été enregistrée lorsque l'événement a eu lieu. Il est très important de synchroniser correctement l'horloge du serveur, car cela permet de suivre et de relier les événements entre eux avec précision. Type : il s'agit du type d'événement. Dans ce cas, il s'agissait d'une erreur. PID : contient des informations sur l'ID de processus utilisé par Apache à ce moment. Client : enregistre l'adresse IP du client à l'origine de la requête. Description : contient une description de l'événement. En vous basant sur l'entrée de journal ci-dessus, décrivez ce qui s'est passé. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ © Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 1 sur 17 Travaux pratiques – Localiser les fichiers journaux Utilisez la commande cat ci-dessous pour afficher un exemple de fichier journal du serveur web. Cet exemple de fichier se trouve dans /var/log : [analyst@secOps ~]$ cat /var/log/logstash-tutorial.log 83.149.9.216 - - [04/Jan/2015:05:13:42 +0000] "GET /presentations/logstash-monitorama- 2013/images/kibana-search.png HTTP/1.1" 200 203023 "http://semicomplete.com/presentations/logstash-monitorama-2013/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.77 Safari/537.36" 83.149.9.216 - - [04/Jan/2015:05:13:42 +0000] "GET /presentations/logstash-monitorama- 2013/images/kibana-dashboard3.png HTTP/1.1" 200 171717 "http://semicomplete.com/presentations/logstash-monitorama-2013/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.77 Safari/537.36" 83.149.9.216 - - [04/Jan/2015:05:13:44 +0000] "GET /presentations/logstash-monitorama- 2013/plugin/highlight/highlight.js HTTP/1.1" 200 26185 "http://semicomplete.com/presentations/logstash-monitorama-2013/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.77 Safari/537.36” <some output omitted> La sortie ci-dessus peut-elle être encore considérée comme transaction web ? Expliquez pourquoi la sortie de la commande cat se trouve dans un format différent de celui de la seule entrée indiquée au point (a). ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ Étape 2 : Exemple de fichier de journal du système d'exploitation N'importe quel logiciel peut inclure des fichiers journaux, y compris le système d'exploitation lui-même. Habituellement, Linux utilise le répertoire /var/log pour stocker les divers fichiers log, y compris les journaux du système d'exploitation. Les systèmes d'exploitation modernes sont des logiciels complexes et utilisent, par conséquent, plusieurs fichiers distincts pour enregistrer les événements. Cette section passe rapidement en revue le fichier /var/log/messages. a. Stocké dans /var/log, le fichier de messages contient divers événements système. Le branchement d'une nouvelle clé USB, la mise en disponibilité d'une carte réseau et un nombre excessif de tentatives de connexion root qui ont échoué sont quelques exemples des événements enregistrés dans le fichier /var/log/messages. Utilisez la commande more pour afficher le contenu du fichier /var/log/messages. Contrairement à la commande cat, more permet une navigation progressive dans le fichier. Appuyez sur Entrée pour avancer une ligne à la fois ou sur Espace pour avancer d'une page entière. Appuyez sur q ou CTRL + C pour abandonner et quitter la commande plus. Remarque : la commande sudo est requise, car le fichier de messages appartient à l'utilisateur root. [analyst@secOps ~]$ sudo more /var/log/messages [sudo] password for analyst: Mar 20 08:34:38 secOps kernel: [6.149910] random: crng init done Mar 20 08:34:40 secOps kernel: [8.280667] floppy0: no floppy controllers found Mar 20 08:34:40 secOps kernel: [8.280724] work still pending Mar 20 08:35:16 secOps kernel: [ 44.414695] hrtimer: interrupt took 5346452 ns Mar 20 14:28:29 secOps kernel: [21239.566409] pcnet32 0000:00:03.0 enp0s3: link down Mar 20 14:28:33 secOps kernel: [21243.404646] pcnet32 0000:00:03.0 enp0s3: link up, 100Mbps, full-duplex © Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 2 sur 17 Travaux pratiques – Localiser les fichiers journaux Mar 20 14:28:35 secOps kernel: [21245.536961] pcnet32 0000:00:03.0 enp0s3: link down Mar 20 14:28:43 secOps kernel: [21253.427459] pcnet32 0000:00:03.0 enp0s3: link up, 100Mbps, full-duplex Mar 20 14:28:53 secOps kernel: [21263.449480] pcnet32 0000:00:03.0 enp0s3: link down Mar 20 14:28:57 secOps kernel: [21267.500152] pcnet32 0000:00:03.0 enp0s3: link up, 100Mbps, full-duplex Mar 20 14:29:01 secOps kernel: [21271.551499] pcnet32 0000:00:03.0 enp0s3: link down Mar 20 14:29:05 secOps kernel: [21275.389707] pcnet32 0000:00:03.0 enp0s3: link up, 100Mbps, full-duplex Mar 22 06:01:40 secOps kernel: [0.000000] Linux version 4.8.12-2-ARCH (builduser@andyrtr) (gcc version 6.2.1 20160830 (GCC) ) #1 SMP PREEMPT Fri Dec 2 20:41:47 CET 2016 Mar 22 06:01:40 secOps kernel: [0.000000] x86/fpu: Supporting XSAVE feature 0x001: 'x87 floating point registers' Mar 22 06:01:40 secOps kernel: [0.000000] x86/fpu: Supporting XSAVE feature 0x002: 'SSE registers' Mar 22 06:01:40 secOps kernel: [0.000000] x86/fpu: Supporting XSAVE feature 0x004: 'AVX registers' Mar 22 06:01:40 secOps kernel: [0.000000] x86/fpu: xstate_offset[2]: 576, xstate_sizes[2]: 256 Mar 22 06:01:40 secOps kernel: [0.000000] x86/fpu: Enabled xstate features 0x7, context size is 832 bytes, using 'standard' format. Mar 22 06:01:40 secOps kernel: [0.000000] x86/fpu: Using 'eager' FPU context switches. <some output omitted> Notez que les événements énumérés ci-dessus sont très différents des événements de serveur web. Comme le système d'exploitation lui-même génère ce journal, tous les événements enregistrés sont en relation avec le système d'exploitation lui-même. b. Si nécessaire, saisissez Ctrl + C pour quitter la commande précédente. c. Les fichiers journaux sont très importants pour le dépannage. Supposons qu'un utilisateur de ce système spécifique ait signalé que toutes les opérations de réseau étaient lentes vers 14 h 30. Les entrées de journal illustrées ci-dessus permettent-elles de prouver cet événement ? Si tel est le cas, à quelles lignes ? Expliquez votre réponse. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ Partie 2 : Localisation des fichiers journaux dans des systèmes inconnus Le poste de travail virtuel CyberOps comprend nginx, un serveur web léger. Cette section montre comment localiser et afficher les journaux nginx avec le poste de travail virtuel CyberOps. Remarque : nginx a été installé sur le poste de travail virtuel CyberOps avec ses paramètres par défaut. Avec les paramètres par défaut, son fichier de configuration global se trouve sous /etc/nginx/nginx.conf, son fichier journal d'accès se trouve sous /var/log/nginx/access.log et les erreurs sont redirigées vers la fenêtre du terminal. Toutefois, les analystes en sécurité ont l'habitude de travailler sur des ordinateurs sur lesquels les informations sur l'installation des outils et des services sont inconnues. Cette section décrit le processus de localisation de ces fichiers pour nginx, mais n'est pas exhaustive. Néanmoins, il s'agit d'un bon exercice pour apprendre à localiser et à afficher les fichiers journaux sur des systèmes inconnus. © Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 3 sur 17 Travaux pratiques – Localiser les fichiers journaux a. Lorsque vous travaillez avec un nouveau logiciel, la première étape consiste à étudier sa documentation. Celle-ci fournit des informations importantes concernant le logiciel, y compris des informations sur ses fichiers journaux. Utilisez la commande man pour afficher la page du manuel de nginx : [analyst@secOps ~]$ man nginx NGINX(8) BSD System Manager's Manual NGINX(8) NOM nginx — HTTP and reverse proxy server, mail proxy server SYNOPSIS nginx [-?hqTtVv] [-c file] [-g directives] [-p prefix] [-s signal] DESCRIPTION Nginx est un serveur HTTP proxy inverse, ainsi qu'un serveur proxy de messagerie. Il est connu pour ses hautes performances, sa stabilité, son large éventail de fonctionnalités, sa configuration facile et sa faible consommation de ressources. <some output omitted> b. Faites défiler la page jusqu'à la section de journalisation de nginx. La documentation confirme que nginx prend en charge la journalisation. L'emplacement de ses fichiers journaux est défini au moment de la compilation. [PARTIAL OUTPUT EXTRACTED FROM NGINX MANUAL PAGE] JOURNAL DE DÉBOGAGE Pour activer un journal de débogage, reconfigurez nginx afin d'inclure le débogage : ./configure --with-debug … puis définissez le niveau de débogage d'error_log : error_log /path/to/log debug; Il est également possible d'activer le débogage pour une adresse IP particulière : events { debug_connection 127.0.0.1; } c. Cette page du manuel contient également des informations sur les fichiers utilisés par nginx. Faites défiler l'écran vers le bas pour afficher les fichiers d'exploitation de nginx dans la uploads/Industriel/ 3-2-1-4-lab-locating-log-files.pdf