Le Contexte :

Nous allons ici tracer les connexions erronées sous le compte administrateur sur notre Active
Directory.

L’action : Centraliser les fichiers de traces

L'intérêt d'un serveur de traces est de permettre une centralisation des journaux d'événements,
permettant de repérer plus rapidement et efficacement les défaillances de machines présentes sur un
réseau.

Cette action vise à intégrer dans un serveur de traces présent sur le réseau, les traces du serveur
Windows2016 hébergeant l’AD. À la fin de cette action, il faudra implémenter quelques indicateurs de
métrologie du logiciel en utilisant le langage SQL.

Le diagramme de déploiement complété est présenté ci-dessous :

Vous utiliserez l'annexe 1.

Annexe 1 : Centraliser les fichiers de trace

Vous disposez d’un modèle d’un serveur de centralisation des fichiers de traces dans la ferme de
serveur (modele-loganalyser2022). Déployez-le. Mettez à jour la résolution de noms dans le fichier
hosts, changez son nom (fichier hostname), et donnez lui une adresse IPV4 dans le même Vlan que
votre serveur AD.

Vous avez donc un serveur de traces centralisé sous linux LUBUNTU 18.04 LTS et un serveur AD
sous Windows 2016 dans le même vlan et qui se pinguent.

I Récupérer les logs du SE Windows 2012R2 dans le serveur de

traces centralisé Loganalyser

Malheureusement, Windows par lui-même ne peut pas envoyer les logs générés par l'observateur
d'événements vers un serveur syslog. Un outil est requis pour cette fonction, c'est le logiciel Snare.
Snare développé par Alliance Interselect, est reconnu comme étant l'un des meilleurs outils gratuits

Marie-pascale Delamare Page 1/7

pour cette fonction. L'agent Snare est malheureusement aujourd’hui payant, mais il est disponible en
version gratuite sur le serveur de fichiers répertoire « TracerConnexionsErroneesLogs ».

Installez l'outil en cliquant simplement sur l'exécutable Snare. Activez l’accès web et saisissez le mot
de passe de l’interface Web. Pour se connecter à l'interface Web, utiliser le user snare, le mot de
passe saisi au cours de l'installation et le port 6161.

Commencez par paramétrer l'adresse du serveur de logs (loganalyser : serveurRsyslog dont le port
est 514) dans le menu Network Configuration.

Ensuite, paramétrez quel type de logs sera envoyé vers le serveur. Par défaut, il y a déjà quelques
règles préconfigurées. Conserver les. N’oubliez pas d’appliquer vos modifications. Puis de vérifier que
les évènements capturés dans « Latest Events ».

Sur le serveur de traces « loganalyser » (user etudiant, mdp etudiant), vérifiez que les messages en
provenance de votre serveur Windows 2016 sont bien enregistrés dans le fichier /var/log/syslog.

Marie-pascale Delamare Page 2/7

Question : Comment faire cette vérification ?

Sur le serveur rsyslog, vérifiez en faisant une requête SQL sur la base "Syslog", table "SystemEvents"
que votre table est bien peuplée des messages du fichier syslog de trace. Vous pouvez lancer votre
requête en mode commande après vous être connecté avec le compte « rsyslog », « root » au serveur
de base de données mysql en faisant en console :

mysql –u rsyslog –p
(mot de passe root)
Puis
use Syslog ;

Question : Quelle est la requête permettant de faire cette vérification ?

Question : Quel est l'intérêt de basculer les fichiers de trace dans un serveur Mysql ?

Question : Quelle est la requête permettant de retrouver tous les messages émanant de votre
serveur Windows 2016 ?

Table SystemEvents de la base de données Syslog.

Sur votre serveur Windows 2016, tentez une ouverture de session en « Administrateur » mais en
saisissant un mauvais mot de passe. Dans les journaux « Security » de votre serveur Windows,
retrouvez le message associé et notez le contenu de la rubrique « niveau » et « mots clés ».

Marie-pascale Delamare Page 3/7

Si vous ne les voyez pas lancez la console de gestion des Stratégie de sécurité locale, puis choisir
Stratégies locales, puis Stratégies d’audit, puis Auditer les évènements de connexion. Vérifiez que les
échecs sont tracés.

Modifiez le paramétrage de SNARE (Logon/Logoff) pour ne récupérer que ces messages du journal
« Security », supprimer tous les autres filtres sauf ceux concernant les « Applications » et de niveau
« Erreur ». Remplacez les copies d’écran ci-dessus par les vôtres.

Marie-pascale Delamare Page 4/7

Une fois le paramétrage de Snare modifié, faites un Truncate sur la table « SystemEvents » et tentez
une nouvelle connexion erronée sur votre serveur Windows 2016.

Question : Quelle est la requête SQL permettant de retrouver le message d'erreur lié à
cette connexion erronée ?

Utiliser le site web

Connectez-vous en « etudiant », « etudiant » sur l’interface web du serveur de traces :

http://AdresseIPLoganalyzer/Loganalyzer

Marie-pascale Delamare Page 5/7

Question : Comment rechercher les seuls messages de votre serveur Windows 2016 (Remplacez la
copie d’écran ci-dessus par la vôtre.) ?

Question : Comment trouver le serveur Windows générant le plus de messages au sein du

serveur de traces (Remplacez la copie d’écran ci-dessus par la vôtre.) ?

Marie-pascale Delamare Page 6/7

Voilà nous avons paramétré le transfert des messages syslog pour ne récupérer que les
messages d’erreur qui nous intéressent. Nous allons maintenant calculer quelques indicateurs
(métrologie du logiciel), en utilisant le langage SQL.

Compter le nombre de tentatives de connections erronées sur le compte administrateur (On

ne comptera qu’une fois les messages qui concernent la même tentative).

Marie-pascale Delamare Page 7/7