Logs vraiment énorme

[Gandalf]

Bonjour tout le monde, mes logs de surveillance du MNF sont devenus pratiquement "inconsultables" depuis le GUI ! Surtout les logs du firewall ( ceux qui m'intéresse quoi ! ), ça prends presque 2 heures avant d'afficher le menu dans l'interface et ensuite quand je fais un choix ( ip source + dest + .. ) firefox part en sucette et occupe jusqu'à 500Mo en ram ! Le début s'affiche mais c'est tout ! Idem pour les logs de snort, mais en moins pire quand même !

Ma question : Y-a t'il un fichier à dégrossir (/var/log/messages) et une config au niveau de logrotate qui je crois s'occupe d'archiver les logs toutes les semaines ( arrêtez moi si je me trompe ! ) ?

Je vais abuser encore un peu de votre temps : dans "Fichiers journaux d'authentification" j'ai des trucs du genre :

[117:1:1] (spp_portscan2) Portscan detected from 195.114.74.46: 6 targets 6 ports in 28 seconds {TCP} 195.114.74.46:1500 -> 213.162.50.9:80

Je comprends plus : l'IP de "from" c'est moi, alors je scanne le réseau sans le savoir et j'augmente la taille de mon fichier ??????

Dans /var/logs : fichier messages de 38 Mo + fichier syslog de 38 MO

SVP eclaircissez moi les idées ?

Merci !

[Jacques-]

1 fichier message de 38Mo, sans attaque, ça me paraît excessif.
Vérifie que le service logrotate est bien actif (service logrotate status).
Tu devrais avoir normalement des fichiers message.1.Gz, .2.gz, etc... qui sont ceux archivés par logrotate (soit 1 par semaine par défaut si je me souviens bien).

Jacques

[Gandalf]

Merci Jacques, je n'ai pas un tel service qui tourne ( pas de service appelé logrotate, peut-être un autre nom ? ), mais j'ai bien un message.1.gz de 6,2 MO ! Mon fichier messages n'a pas l'air "vidé" de son archivage ! Comment puis-je "dégrossir" ça à la main ?

J'ai activé l'option norfc1918 sur l'interface ppp+ est-ce ça qui fait augmenter mes logs de façon phénoménale ? Car si je lis l'aide il me dit que : " Les paquets arrivant sur cette interface et qui ont comme source ou destination des adresses réservées dans le RFC 1918 (adresse de réseau privée) seront tracés ("logged") et abandonnés. Cette option est généralement activée pour les interfaces Internet." ????

[Gandalf]

Je viens de descendre mon niveau de journal de Information à Notification car pour snort, aller sur Ixus est un scan :

[117:1:1] (spp_portscan2) Portscan detected from 195.114.74.46: 6 targets 6 ports in 75 seconds {TCP} 195.114.74.46:1432 -> 195.140.140.28:80

Interroger un serveur DNS aussi :

[117:1:1] (spp_portscan2) Portscan detected from 195.114.74.46: 6 targets 7 ports in 30 seconds {UDP} 195.114.74.46:2499 -> 194.2.0.20:53

C'est pas un peu du n'importe quoi comme IDS, parce que moi aussi je peux développer un IDS qui enregistre toutes les connexions comme des scans ! Et par dessus Prelude reste muet comme une carpe .... alors je comprends plus rien du tout ce soir, je m'en vais reprendre mes boules de pétanque c'est moins compliqué tiens .....t'ain pas ma soirée tiens !