Piège SNMP contre Syslog
SNMP est le Protocole de gestion de réseau simple . Cela nécessite un manager qui communique avec les agents. Chaque périphérique réseau dispose d'un agent préinstallé. Il suffit donc à un gestionnaire de réseau d'installer le Gestionnaire SNMP . Journal système est une norme de messagerie de journaux largement utilisée dans les systèmes Linux. Ces messages ne mènent nulle part si vous n'avez pas de serveur Syslog.
SNMP et Syslog nécessitent tous deux un utilitaire pour collecter leurs messages. Vous avez besoin d’un système plus sophistiqué pour analyser ces messages et les utiliser. Alors, dans lequel vaut-il la peine d’investir ? Pouvez-vous utiliser les deux ?
SNMP
Le protocole de gestion de réseau simple est largement utilisé pour surveillance du réseau . Presque tous les moniteurs réseau que vous pouvez acheter sont dotés de procédures SNMP.
En SNMP, un gestionnaire diffuse des demandes de rapport sur le réseau toutes les quatre ou cinq minutes. Chaque périphérique réseau est doté d'un agent installé qui analyse en permanence son statut et remplit un formulaire. Lorsque l'agent reçoit la demande, il envoie la version actuelle de son rapport, appelé Base d'informations de gestion (MIB), puis continue la numérisation.
Si un agent de périphérique détecte un problème grave, il n’a pas besoin d’attendre une demande pour envoyer un rapport. Cette MIB non demandée est appelée un Piège . Les moniteurs réseau interprètent les pièges en « alertes ». Alors que la MIB fournit de nombreux types de données différents, y compris des rapports sur le débit du trafic sur chaque interface, le but du Trap est d'attirer l'attention sur un problème spécifique.
En plus d'indiquer le problème, l'interruption SNMP inclut un classement de gravité. Les niveaux de gravité dans les normes SNMP sont :
| 0 | Urgence | Système inutilisable |
| 1 | Alerte | Une action immédiate est nécessaire |
| deux | Critique | Des conditions critiques existent |
| 3 | Erreur | Des conditions extrêmes existent |
| 4 | Avertissement | Des conditions d'avertissement existent |
| 5 | Avis | Des conditions normales mais significatives existent |
| 6 | Information | Messages d'information |
| 7 | Déboguer | Messages de débogage |
Plus le nombre dans le message Trap est bas, plus le problème est important.
Voir également: Vulnérabilités SNMP courantes
Journal système
Syslog est un standard ouvert : personne n'en est propriétaire et le format est publié gratuitement. Le format de messagerie Syslog est particulièrement populaire sur les systèmes d'exploitation Linux et pour les logiciels qui s'exécutent sur ceux-ci.
Le format d'un message Syslog comprend :
| Horodatage | La date et l'heure de création du message |
| Adresse IP de l'hôte | Identifie l'appareil qui a créé le message |
| Message d'événement | Un indicateur de l'événement |
| Gravité | Un classement de la gravité de l'événement |
| Diagnostique | Conditions du système liées à l'événement |
Comme Syslog est une référence et non un progiciel, toutes les sources génératrices de messages ne rempliront pas tous les champs.
Le but des messages de journal est de les classer et de les utiliser à des fins d'analyse historique. Il existe des systèmes qui effectuent une recherche en direct dans les messages du journal. Cependant, ils ne sont pas examinés aussi rapidement que les messages SNMP Trap. Un associé plus proche de Syslog est la norme Windows Events.
Les messages de journaux sont désormais très importants pour les systèmes de sécurité, tels que SIEM (informations de sécurité et gestion d'événements) . Les messages de journal doivent être collectés puis stockés dans des fichiers. Les outils d'analyse des journaux peuvent ensuite accéder aux fichiers journaux et y rechercher des indications d'intrusion. Le stockage des messages de journal est également une exigence de nombreuses normes de protection des données, telles que HIPAA et PCI DSS .
Voir également: Outils du serveur Syslog
Quand utiliser les interruptions SNMP
Il est très rare de trouver un système qui s'appuie uniquement sur les interruptions SNMP. Le piège est juste un des types de messages que SNMP spécifie et vous en obtiendrez très probablement des informations via un moniteur général de performances réseau. La plupart des moniteurs de performances réseau sont payants et remplissent le rôle de gestionnaire SNMP.
Tout l'équipement réseau comprend agents de périphérique mais les rapports réguliers qu’ils compilent ne sont envoyés que sur demande. Les messages Trap ne peuvent être envoyés qu'à un Manager ayant déjà envoyé son adresse. Ainsi, si aucun gestionnaire SNMP n’est opérationnel sur le réseau, les messages SNMP Trap ne peuvent être d’aucune utilité.
Un avantage supplémentaire de l'utilisation d'un gestionnaire SNMP est que les réponses qu'il reçoit toutes les quatre ou cinq minutes indiquez au moniteur exactement quels appareils sont sur le réseau et comment ils se connectent les uns aux autres. Cela donne au moniteur un service de découverte automatique des appareils et fournit toutes les informations sur chaque appareil qui permettent de compiler un inventaire du réseau.
Les messages SNMP peuvent également être acheminés vers des systèmes d'analyse de journaux qui recherchent des événements de sécurité. Dans ces cas, les messages Trap, ainsi que tous les autres rapports SNMP MIB, seront convertis dans un format neutre afin qu'ils puissent être classés avec les messages Syslog et d'événements Windows.
Quand utiliser Syslog
Comme SNMP, les messages Syslog sont déjà présents dans votre système, il vous suffit d'installer un programme pour les collecter. Les messages Syslog fournissent des informations importantes sur l'activité sur le système. En réunissant les messages Syslog qui apparaissent dans de nombreux progiciels et Linux, un gestionnaire de réseau peut avoir une bonne vue de tous les problèmes survenus. Consolidation des messages Syslog dans un magasin central qui classe également Messages d'événement Windows obtient une vue encore meilleure de l’activité du système.
Vous utiliseriez Syslog pour analyser rétrospectivement l’activité du système. Ceci est particulièrement utile pour les enquêtes de sécurité.
L'essentiel
Les messages SNMP Traps et Syslog fournissent informations système importantes . Les deux services sont très utiles pour la surveillance du système et l’analyse des services. SNMP est généralement davantage utilisé pour la surveillance du réseau, tandis que Syslog est plus couramment utilisé pour notifications sur l'état des logiciels et du système d'exploitation .
Les services SNMP et Syslog existent déjà sur votre système, il vous suffit d'installer un collecteur et un interpréteur de messages. SNMP Traps et Syslog sont tous deux des standards ouverts auxquels tout le monde peut accéder. Les éditeurs de logiciels accèdent à ces normes et intègrent leurs fonctions dans leurs produits.
Il est conseillé de utiliser à la fois les pièges SNMP et Syslog . Procurez-vous un moniteur de performances réseau pour exploiter les services des pièges SNMP et achetez un système SIEM pour tirer le meilleur parti de Syslog.
