Surveiller ce forum | Commencer une nouvelle discussion

Hiérarchisé À plat Fils de discussion Ultime

Montrer 25 Montrer 50 Montrer 75 Montrer 100

RE: Log uniquement [ Répondre ] Par : Arnaud PENSU on 2023-10-02 08:45	[forum:626443]
ok !!! merci Richard, je regarde.

RE: Log uniquement [ Répondre ] Par : Richard REY (Rexy) on 2023-09-29 00:35	[forum:626437]
Bonjour, "Netflow" génère un fichier toutes les 5' dans « /var/log/nfsen/profile-data/live/alcasar_netflow/ » (un répertoire par jour). Pour lire le contenu d'un fichier, voici la commande : nfdump -R <nom_fichier> -o extended -a

RE: Log uniquement [ Répondre ] Par : Arnaud PENSU on 2023-09-28 12:47	[forum:626435]
Bonjour Richard, je veux bien vous croire ! :-) plus sérieusement, d'accord, mais donc ca veut dire qu'on devrait avoir nos logs en mode bypass ? et pourtant on n'a rien, par où doit on commencer à chercher ? ALCASAR est bien la passerelle des PCs, ils accèdent bien a différents sites internet, mais aucune trace sur le serveur ... ?

RE: Log uniquement [ Répondre ] Par : Richard REY (Rexy) on 2023-09-27 22:58	[forum:626431]
Bonsoir, Les logs de traçabilité, que ce soit en mode 'bypass' ou en mode 'normal', sont générés quasi exclusivement pas la sonde NetFlow du noyau. Tout est expliqué au chapitre 5 de la doc technique. PS : seules quelques traces HTTP (et non HTTPS) qui passent par le filtrage (blacklist + antivirus) sont gérées par ulogd

RE: Log uniquement [ Répondre ] Par : jean louis lecoquierre on 2023-09-22 09:38	[forum:626419]
j'avais cherché aussi et en activant le by pass je n'avais plus de log+mac mon controleur unifi gère l'accès à la mode case a cocher (suffisant pour le moment) mais le ALCASAR meme sans authentification doit conserver mac+log et la NON j'ai un adguard qui logs IP+site web avec filtrage si besoin je peux me pencher aussi avec vous sur le problème si on me dit ou chercher

RE: Log uniquement [ Répondre ] Par : Arnaud PENSU on 2023-09-21 17:51	[forum:626409]
Bonsoir, bon et bien après 1/2 journée de test en tout genre, je ne parviens pas à avoir la moindre trace d'activité enregistrée en mode ByPass. Il n'y a que lorsque je m'authentifie sur le portail que les traces sont visibles (logs de connexion) tant dans le journal global que dans les sauvegardes des journaux. soit je m'y prends mal soit quelque chose bug dans ma conf ??

RE: Log uniquement [ Répondre ] Par : Richard REY (Rexy) on 2023-09-20 17:55

[forum:626405]

Bonjour, En effet, dans le mode "bypass", ALCASAR continue de journaliser toutes les traces sortant sur Internet avec les @IP + @MAC sources des systèmes qui les ont générées. Il ne peut cependant pas les associer à un utilisateur (plus d'authentification). Proposer une page d'identification avec uniquement le login semble peu utile puisqu'on peut écrire n'importe quoi. En revanche, on va tenter d'intégrer la possibilité d'activer/désactiver le mode bypass dans l'ACC.

RE: Log uniquement [ Répondre ] Par : Patrick Pons on 2023-09-15 12:40

[forum:626404]

Bonjour En complément de mon précédent message, qu'entendez-vous par : "Toutefois, l’imputabilité des connexions n’est plus assurée." Cela veut t'il dire que l'on ne peut pas faire le lien entre une adresse mac et ses logs, et l'utilisateur ? Dans ce cas n'est-il pas possible d'avoir une fenêtre d'authentification avec un champ libre ou l'utilisateur rentre son nom et sans mot de passe (juste le nom) ? Merci

RE: Log uniquement [ Répondre ] Par : Patrick Pons on 2023-09-15 12:24	[forum:626403]
Bonjour Si j'ai bien compris, le mode by-pass enregistre les logs mais n'intervient pas pour l'authentification. Dans ce cas, c'est exactement ce que je souhaite. Un mode by-pass permanent. Merci

RE: Log uniquement [ Répondre ] Par : Arnaud PENSU on 2023-09-15 09:24	[forum:626402]
ha merci, j'avais trouvé ce mode j'étais donc sur la bonne piste, je l'ai activé, mais il m'a semblé qu'il n'y avait aucune trace. je vais tâcher de trouver plus de temps pour r&d car si vous me confirmez qu'en mode bypass les logs restent actifs, c'est exactement ce qu'on cherche du coup. je vous redis quand j'aurais fait des test plus rigoureux. merci pour votre aide.

RE: Log uniquement [ Répondre ] Par : Richard REY (Rexy) on 2023-09-15 00:18

[forum:626399]

Bonjour, C'est en effet plus clair avec les explications. Pour faire cela, vous pouvez basculer alcasar en mode "bypass". Tout le système de traçabilité reste actif, mais l'interception pour authentification est stoppée. Cf. chapitre 7.9 de la doc d'exploitation (P33). La commande à lancer dans un terminal en root est : - alcasar-bypass.sh -on Le Pb que je vois est que ce mode (qui est un mode de "maintenance") n'a normalement pas vocation à durer. À titre d'exemple, si vous rebootez alcasar, il rebasculera en mode "normal". Si ce mode vous convient, on pourra chercher un moyen pour qu'il devienne "persistent". Dites-nous.

RE: Log uniquement [ Répondre ] Par : Arnaud PENSU on 2023-09-14 13:50

[forum:626396]

Bonjour, c'est l'authentification qui me pose pb justement, la liste des machine devant se connecter est beaucoup trop grande. on a décidé de s'affranchir de ce point, en toute connaissance de cause. En fait, ce cherche clairement à remlpacer Telmat ; tout ce qui est gestion du réseau & authentification est confié au routeur Ubiquiti Unifi, j'ai juste besoin d'un produit qui me log toutes les connexions address source - dest - protocole - date et heure. Non pas qu'on ne veuille pas payer loin de la, je vends ces solutions donc c'est financable, mais ca me fait mal de faire raquer un Telmat à mes clients, juste pour les logs...

RE: Log uniquement [ Répondre ] Par : Patrick Pons on 2023-09-13 23:04	[forum:626395]
Bonjour Moi aussi je suis curieux de la réponse.

RE: Log uniquement [ Répondre ] Par : Richard REY (Rexy) on 2023-09-13 23:04	[forum:626394]
Bonjour, L'authentification par @MAC ne suffirait-elle pas (cf. 3.8.c en page 13 de la doc d'exploitation) ?

RE: Log uniquement [ Répondre ] Par : jean louis lecoquierre on 2023-09-13 20:22	[forum:626393]
bonjour la réponse m'intéresse

Log uniquement [ Répondre ] Par : Arnaud PENSU on 2023-09-12 12:52	[forum:626392]
bonjour, exsiste-il un moyen de configurer Alcasar en mode Login uniquement (comme on peut le faire sur un Telmat) l'objectif est de n'enregsitrer que les connexions (@MAC, ip dest, propotcole, horaire) sans gérer d'authentification ? Telmat est beaucoup trop chère pour juste cet usage. merci.