Académique Documents
Professionnel Documents
Culture Documents
Nous allons ici tracer les connexions erronées sous le compte administrateur sur notre Active
Directory.
L'intérêt d'un serveur de traces est de permettre une centralisation des journaux d'événements,
permettant de repérer plus rapidement et efficacement les défaillances de machines présentes sur un
réseau.
Cette action vise à intégrer dans un serveur de traces présent sur le réseau, les traces du serveur
Windows2016 hébergeant l’AD. À la fin de cette action, il faudra implémenter quelques indicateurs de
métrologie du logiciel en utilisant le langage SQL.
Vous avez donc un serveur de traces centralisé sous linux LUBUNTU 18.04 LTS et un serveur AD
sous Windows 2016 dans le même vlan et qui se pinguent.
Malheureusement, Windows par lui-même ne peut pas envoyer les logs générés par l'observateur
d'événements vers un serveur syslog. Un outil est requis pour cette fonction, c'est le logiciel Snare.
Snare développé par Alliance Interselect, est reconnu comme étant l'un des meilleurs outils gratuits
Installez l'outil en cliquant simplement sur l'exécutable Snare. Activez l’accès web et saisissez le mot
de passe de l’interface Web. Pour se connecter à l'interface Web, utiliser le user snare, le mot de
passe saisi au cours de l'installation et le port 6161.
Commencez par paramétrer l'adresse du serveur de logs (loganalyser : serveurRsyslog dont le port
est 514) dans le menu Network Configuration.
Ensuite, paramétrez quel type de logs sera envoyé vers le serveur. Par défaut, il y a déjà quelques
règles préconfigurées. Conserver les. N’oubliez pas d’appliquer vos modifications. Puis de vérifier que
les évènements capturés dans « Latest Events ».
Sur le serveur de traces « loganalyser » (user etudiant, mdp etudiant), vérifiez que les messages en
provenance de votre serveur Windows 2016 sont bien enregistrés dans le fichier /var/log/syslog.
Sur le serveur rsyslog, vérifiez en faisant une requête SQL sur la base "Syslog", table "SystemEvents"
que votre table est bien peuplée des messages du fichier syslog de trace. Vous pouvez lancer votre
requête en mode commande après vous être connecté avec le compte « rsyslog », « root » au serveur
de base de données mysql en faisant en console :
mysql –u rsyslog –p
(mot de passe root)
Puis
use Syslog ;
Question : Quel est l'intérêt de basculer les fichiers de trace dans un serveur Mysql ?
Question : Quelle est la requête permettant de retrouver tous les messages émanant de votre
serveur Windows 2016 ?
Sur votre serveur Windows 2016, tentez une ouverture de session en « Administrateur » mais en
saisissant un mauvais mot de passe. Dans les journaux « Security » de votre serveur Windows,
retrouvez le message associé et notez le contenu de la rubrique « niveau » et « mots clés ».
Modifiez le paramétrage de SNARE (Logon/Logoff) pour ne récupérer que ces messages du journal
« Security », supprimer tous les autres filtres sauf ceux concernant les « Applications » et de niveau
« Erreur ». Remplacez les copies d’écran ci-dessus par les vôtres.
Question : Quelle est la requête SQL permettant de retrouver le message d'erreur lié à
cette connexion erronée ?