LES SIEM - Les Log Sous Ubuntu Linux Server

LES SIEM LICENCE SRS-ESGIS 2020
TP 2 : LES LOGs
SOUS UBUNTU SERVER
Noms : ________________________________________________
________________________________________________
I. Objectifs
A l’issue de ce TP, les étudiants seront capables de :

• retrouver les journaux d’informations dans un environnement linux;
• accéder aux journaux d’informations en ligne de commande ;
• suivre les logs de linux en temps réel ;
• identifier les différentes entrées dans le dossier de logs de linux ;
• faire des recherches dans les logs de linux.
II. Environnement de travail
• un (01) PC Windows 10 ;
• l’hyperviseur VMware Workstation 15 ;
• un (01) serveur Ubuntu en version 18.04 ou 20.04 LTS ;
• un (01) émulateur de terminal (PuTTY ou équivalent) pour l’accès SSH au serveur
linux.
Page 1 sur 11
III. Installation du serveur Ubuntu
1. Configuration du virtual network
Il faut configurer le Virtual-network pour spécifier les réseaux à utiliser avec les
machines virtuelles de VMware. Nous utiliserons les réseaux ci-dessous :
• Vmnet 1 :192.168.11.0/24 (sans DHCP) ;
• Vmnet 2 :192.168.12.0/24 (sans DHCP) ;
• Vmnet 3 :192.168.13.0/24 (sans DHCP) ;
• Vmnet 8 (NAT) :192.168.100.0/24 ;
Lancez le Virtual Network Editor en tant qu’Administrateur et modifiez-le pour qu’il

ressemble à ceci :
En bleu le NAT (Vmnet 8) chez moi est dans le réseau 192.168.70.0/24. Chez vous
prenez le réseau 192.168.100.0/24.
Page 2 sur 11
Vérifiez que les interfaces sont bien créées et actives dans le gestionnaire de vos
interfaces réseau.
2. Installation du serveur
Rassurez-vous que vous avez l’iso du serveur Ubuntu 20.04 LTS.

Sur le VMware, créez une nouvelle Machine virtuelle nommée « Ubuntu2004 » avec les
caractéristiques suivantes :
Pour l’interface réseau, choisissez le NAT.
Page 3 sur 11
Pendant l’installation, configurez manuellement le réseau avec les paramètres ci-

dessous :
• Adresse IP : 192.168.100.20
• Masque : 255.255.255.0
• Gateway : 192.168.100.2
• DNS : 8.8.8.8
Par ailleurs, veuillez choisir d’installer le serveur SSH, cela vous permettra d’accéder au
serveur Ubuntu par SSH.
Si tout se passe bien, le serveur Ubuntu s’installe et vous avez le prompt suivant :
Vous pouvez vous loguer avec vos credentials créés pendant l’installation
(Username/Password).
Pour une bonne maniabilité, je vous conseille de vous loguer par SSH en utilisant votre
émulateur de terminal préféré. J’utilise SecureCRT.
Page 4 sur 11
En SSH, passez en mode super utilisateur en tapant sudo su, et en rentrant votre mot de
passe.
IV. Les logs de Ubuntu
1. Localisation des logs
Sur Ubuntu, les fichiers de log sont localises dans le dossier suivant :
/var/log/
Page 5 sur 11
Pour les voir, faites :

ls /var/log/
2. Consultation des logs
a) Les logs d’authentification
Les logs d’authentification sont dans le fichier auth.log.

Il faut l’ouvrir pour voir le contenu : cat /var/log/auth.log.
Page 6 sur 11
Dans le fichier vous voyez en jaune les entrées correspondant à mon ouverture de session
SSH et a mon élévation de privilèges en super utilisateur (sudo su)
b) Les syslog
Les messages syslog sont stockés dans le fichier syslog.

Pour l’ouvrir : cat /avr/log/syslog
Page 7 sur 11
3. Consultation des logs en temps réel
Vous pouvez suivre les logs en temps réel. Pour cela, il faut ouvrir les fichiers avec tail.
Par exemple, nous allons faire un test de log d’authentification. Nous avons deux
connexions sur le serveur : une en console sur VMware et une autre en SSH.
Nous allons utiliser la connexion SSH pour monitorer les login en console sur le
VMware.
Le fichier de log des authentifications est dans /var/log/auth.log.
Nous allons l’ouvrir avec tail et observer les essais de login depuis la console VMware.
tail -f /var/log/auth.log
La dernière entrée est définie sur le 13 juin à 14H23mn34s.

Maintenant nous allons sur VMware pour faire des tests de login.
Le premier test se fera avec un mauvais mot de passe :
Page 8 sur 11
Sur le SSH nous voyons une nouvelle entrée qui stipule l’échec de connexion :
Le système signal un échec de connexion le 13 juin à 15:05:18

Essayons maintenant une connexion avec les bons mot de passe sur la console :
Page 9 sur 11
La connexion est ok.

Regardons dans les logs sur le SSH :
Nous avons des entrées qui tracent l’authentification réussie et l’ouverture de session
pour l’utilisateur mike.
Pour arrêter le tail, il suffit de faire CTRL + C sur le SSH. De cette facon, vous revenez a
votre prompt normal.
Page 10 sur 11
Vous pouvez monitorer en réel un grand nombre de logs sous linux.
Page 11 sur 11

LES SIEM - Les Log Sous Ubuntu Linux Server

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

LES SIEM - Les Log Sous Ubuntu Linux Server

Transféré par

Droits d'auteur :

Formats disponibles

LES SIEM LICENCE SRS-ESGIS 2020

A l’issue de ce TP, les étudiants seront capables de :

II. Environnement de travail

III. Installation du serveur Ubuntu

1. Configuration du virtual network

Lancez le Virtual Network Editor en tant qu’Administrateur et modifiez-le pour qu’il

Rassurez-vous que vous avez l’iso du serveur Ubuntu 20.04 LTS.

Pour l’interface réseau, choisissez le NAT.

Pendant l’installation, configurez manuellement le réseau avec les paramètres ci-

IV. Les logs de Ubuntu

1. Localisation des logs

Pour les voir, faites :

2. Consultation des logs

a) Les logs d’authentification

Les logs d’authentification sont dans le fichier auth.log.

Les messages syslog sont stockés dans le fichier syslog.

3. Consultation des logs en temps réel

La dernière entrée est définie sur le 13 juin à 14H23mn34s.

Le système signal un échec de connexion le 13 juin à 15:05:18

La connexion est ok.

Vous pouvez monitorer en réel un grand nombre de logs sous linux.

Vous aimerez peut-être aussi