Analyse de log, aprentissage filtrage

Bonjour à tous et une bonne année 2004

Voici qques questions sur le sujet, avec les réponses de Frédéric Gloannec, que je poste ici en pensant que d'autres que moi pourraient être intéressés. Bonne lecture, et merci/bravo à l'équipe de LNS pour ce système, sa documentation et le support.

Initialement sur LNS lite, j'ai maintenant acquis une licence 2.04 que j'ai configuré au petit poil, et j'en suis super content !

> J'ai tout bien configuré maintenant le filtrage Internet, ai lu les FAQ ainsi que Shields UP!, tous deux fort intéressants, fait plusieurs tests et me pose qques questions. Je voudrais maintenant analyser les log de LNS et j'éprouve qques difficultées.

>1/ D'ordre pratique. Je souhaiterais descendre la log sur Excel afin de trier sur différents critères, mais malheureusement, certaines zones de chaque record sont de longueurs différentes et il n'y a pas non plus de caractères de séparation. Il est donc difficile de formater des colonnes correctement. Auriez vous qques suggestions ?

Réponse :
Utilisez le mode brut. Ce mode est sélectionnable dans les options avancées, et il permet d'obtenir des fichiers de log qui utilisent la , comme séparateur de champ.

> 2/ L'analyse par elle meme. La log est vraiment bavarde et c'est formidable le nombre de paquets bloqués par LNS qui ne m'empèchent pas de surfer ! Bien sûr on peut réduire celà, mais sur quels critères ? Serait il possible de définir une typologie permettant dans un premier temps de trier ce que je pense etre un 'bruit de fond' Internet et donc ne plus logger, de ce qui pourrait vraiment être une action malveillante ? Dans un deuxième temps d'avoir un guide générale permettant d'identifier plus précisément la source de l'action ? J'ai lu dans l'OI que Visualzone faisait ce tracking ? Bon, la réponse est peut etre LNS 2.04...

Réponse :
Oui il est possible de filtrer sans forcément ajouter quelque chose dans le journal. Par contre il est difficile de savoir si un paquet est un paquet superflu (ou un bruit de fond comme vous dites) ou une vraie attaque.
Effectivement dans la version 2.04 il y a un moyen de retouver des infos sur une adresse IP à l'aide de commandes de type tracert et whois, mais ce n'est pas graphique comme dans les applis genre visualzone/route.
A noter que la version 2.05 (disponible en béta actuellement) permet
d'interfacer des plugins externes qui pourront afficher des informations du même style que Visualzone/route

> 3/ Aprentissage : Excepté la FAQ et Shields UP! pourriez vous m'indiquer d'autres sites permettant à un novice un aprentissage progressif de filtrage internet et d'analyse ?

Réponse :
Il y a le fichier d'aide qui donne aussi quelques informations utiles et
sinon un site en Anglais:
http://www.wilderssecurity.info/