Search
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

BalaBit IT Security : syslog-ng pour répondre à la problématique de collecte de logs

août 2013 par Marc Jacob

syslog-ng créé par BalaBit, se décline actuellement en trois gammes : une version Open Source gratuite, une version Premium pour les entreprises qui souhaitent une version professionnelle avec entre autre un support et des services adaptées et syslog-ng Store Box (SSB) qui propose entre autre un système de recherche de log, des statistiques et une collecte de logs pouvant aller jusqu’à 75.000 log/seconde. Pour Jim Luby, Product Marketing Manager de Syslog-ng il est nécessaire que les entreprises mettent rapidement en place un système de log adapté à la venue du Big Data.

Aujourd’hui syslog-ng collecte, filtre, classifie, normalise et centralise les logs, mais n’est pas un outil d’analyse de logs comme le propose les SIEM. Toutefois, cette solution offre un système de corrélation et d’alertes basiques dans toutes ces versions. syslog-ng ne propose donc pas d’alertes ni de corrélations de logs. Toutefois, cette solution est utilisée comme un moteur de collecte de logs par de nombreux éditeurs et plus d’un million d’entreprises dans le monde. Ainsi, « syslog-ng nous a rapporté 3 millions d’euros de revenu en 2012 avec une croissance de 50% par rapport à 2011 » explique Jim Luby Product Manager de syslog-ng. Ces revenus proviennent principalement de la version Premium, du support, des formations... Actuellement, plus d’un million d’entreprises l’utilisent dans le monde.

Ces principales caractéristiques sont
-  Sa flexibilité
-  Son système de classification
-  Le système de transfert des informations qui est sécurisé via une communication SSL/TLS
-  La rapidité de la collecte de logs soit plus de 650Ko/seconde Dans un proche avenir, syslog-ng Premium Edtion devrait proposer certaines améliorations comme :
-  la perte d’aucune données lors des transferts, bien sûr sous réserve d’avoir bien configuré la solution,
-  le chiffrement des données stockées,
-  l’exportation des logs directement dans une base de données SQL,
-  le support Windows et un support sur plus de 50 plateformes.

Nous avons décliné l’édition Premium avec syslog-ng Store Box. Cette solution propose certains plus par rapport à la version Premium comme un système de recherche basée sur une interface web GUI, des statistiques sur les événements. Avec ce produit, il est possible de collecté 75.000 log/seconde.

Ainsi nous avons de très nombreux grands comptes qui utilisent syslog-ng de par le monde. Par exemple, une très grande entreprise française utilise syslog-ng devant son outil de SIEM pour filtrer les millions de logs en provenance de ces 14.000 serveurs et adresser uniquement ceux qui peuvent être intéressant étant générateur d’alerte. Dans le cas de cet opérateur Telecom, il l’utilise pour vérifier les logs échanger par ses deux data center. Dans le domaine de la santé, syslog-ng version Premium permet de centraliser les logs et les renommer pour améliorer leur recherche de façon automatique. Ce processus permet d’identifier la source plus rapidement. Par la suite les logs filtrés sont adressés aux deux outils de SIEM ArcSight et Splunk utilisés par cette organisation. Une entreprise du domaine de l’énergie qui utilisait dans le passé la version Open Source, a acquis la version Premium afin de mettre une surveillance spécial sur ces serveurs sous Oracle.

Notre vision aujourd’hui est qu’avec l’augmentation des logs nous souhaitons aider nos clients à s’y retrouver dans la montagne d’informations fournie par les logs, car sans visibilité sur les données les entreprises ne pourront pas proposer les bonnes réponses.




Voir les articles précédents

    

Voir les articles suivants