8.1. Fichiers d'événements

Il est possible de consulter les fichiers d'événements.

Pour afficher...	nom du fichier...
les événements du moteur de détection	detection-engine-logs
les événements liés au noyau	var-log-kernel
l'agrégation de différents journaux	var-log-messages
les informations d'authentification du GCap	var-log-auth
les informations de lancement des tâches planifiées	var-log-cron
les informations sur l'activité des différentes applications utilisées	var-log-daemon
les informations sur l'activité des utilisateurs du GCap	var-log-user
les événements de debug	var-log-debug

---

8.1.1. Événements du moteur de détection : detection-engine-logs

Ce journal contient les événements du moteur de détection. Ils permettent d'obtenir plus des informations sur l'état ou les erreurs du moteur de détection.
Quelques exemples de lignes utiles :

• fin du démarrage

[97] <Info> -- All AFP capture threads are running.

• fin de rechargement de règles

 [76] <Info> -- cleaning up signature grouping structure... complete
 [76] <Notice> -- rule reload complete

• erreur de chargement de règles

[76] <Error> -- [ERRCODE: SC_ERR_UNKNOWN_PROTOCOL(124)] - protocol "dnp3" cannot be used in a signature.  Either detection for this protocol is not yet supported OR detection has been disabled for protocol through the yaml option app-layer.protocols.dnp3.detection-enabled                                                                                                 
 [76] <Error> -- [ERRCODE: SC_ERR_INVALID_SIGNATURE(39)] - error parsing signature "alert dnp3 $EXTERNAL_NET any -> $INTERNAL_NET any (msg: "Failing rule"; sid:2000001; rev:1;) from file /etc/suricata/rules/local_all.rules at line 1                                         

---

8.1.2. Événements liés au noyau : var-log-kernel

Ce journal contient les informations des événements liés au noyau.
Quelques exemples d'informations utiles :

• changement d'état d'un lien

2022-02-03T12:48:39.578422+00:00 GCap.domain.tld kernel: [ 9149.189652] i40e 0000:17:00.0 mon0: NIC Link is Down
2022-02-03T12:48:40.457410+00:00 GCap.domain.tld kernel: [ 9150.068228] i40e 0000:17:00.0 mon0: NIC Link is Up, 10 Gbps Full Duplex, Flow Control: None

---

8.1.3. Informations d'authentification du GCap : var-log-auth

Ce journal contient les informations d'authentification du GCap.
Quelques exemples de lignes utiles :

• erreur d'authentification SSH

2022-02-03T14:10:17.680152+00:00 GCap.domain.tld sshd: root [pam]#000[338683]: level=error msg="failed to check credentials for \"root\": \"invalid password: password mismatch\""                    
2022-02-03T14:10:26.682897+00:00 GCap.domain.tld sshd[338675]: error: PAM: Authentication failure for root from 1.2.3.4                                           
2022-02-03T14:10:26.785321+00:00 GCap.domain.tld sshd[338675]: Connection closed by authenticating user root 1.2.3.4 port 3592 [preauth]

• les événements IPSec

2022-02-03T13:38:10.770453+00:00 GCap.domain.tld charon: 06[IKE] reauthenticating IKE_SA GCenter[4]                                                                 2022-02-03T13:38:10.771116+00:00 GCap.domain.tld charon: 06[IKE] deleting IKE_SA GCenter[4] between 10.2.19.152[C=FR, O=GATEWATCHER, CN=lenovo-se350-int-sla.gatewat
cher.com]...2.3.4.5[CN=GCenter.domain.tld.com]                                                                                                                          
2022-02-03T13:38:13.085957+00:00 GCap.domain.tld charon: 16[IKE] IKE_SA deleted                                                                                     
2022-02-03T13:38:13.141553+00:00 GCap.domain.tld charon: 16[IKE] initiating IKE_SA GCenter[5] to 2.3.4.5                                                        2022-02-03T13:38:13.364748+00:00 GCap.domain.tld charon: 07[IKE] establishing CHILD_SA GCenter{18} reqid 2
2022-02-03T13:38:14.827308+00:00 GCap.domain.tld charon: 12[IKE] IKE_SA GCenter[5] established between 10.2.19.152[C=FR, O=GATEWATCHER, CN=GCap.domain.tld]...2.3.4.5[CN=GCenter.domain.tld.com]

---

8.1.4. Informations sur l'activité des différentes applications utilisées : var-log-daemon

Ce journal contient les informations sur l'activité des différentes applications utilisées.
Quelques exemples de lignes utiles :

• synchronisation de configuration avec le GCenter

2022-02-03T16:25:35.583926+00:00 GCap.domain.tld GCenter_gateway.xfer [xfer] : [INFO] Successfully rsynced GCap.domain.tld-rules/suricata_configuration.json: 
2022-02-03T16:25:35.840272+00:00 GCap.domain.tld GCenter_gateway.xfer [xfer] : [INFO] Successfully rsynced GCap.domain.tld-rules-static/v2.0/codebreaker_shellcode.rules: 
2022-02-03T16:25:35.840643+00:00 GCap.domain.tld GCenter_gateway.xfer [xfer] : [INFO] Codebreaker file /data/containers/suricata/etc/suricata/rules/codebreaker_shellcode.rules was identical
2022-02-03T16:25:35.975630+00:00 GCap.domain.tld GCenter_gateway.xfer [xfer] : [INFO] Successfully rsynced GCap.domain.tld-rules-static/v2.0/codebreaker_powershell.rules: 
2022-02-03T16:25:35.975771+00:00 GCap.domain.tld GCenter_gateway.xfer [xfer] : [INFO] Codebreaker file /data/containers/suricata/etc/suricata/rules/codebreaker_powershell.rules was identical

---

8.1.5. Informations sur l'activité des utilisateurs : var-log-user

Ce journal contient les informations sur l'activité des utilisateurs du GCap.
Quelques exemples de lignes utiles :

• démarrage du moteur de détection

2022-02-03T14:18:26.428461+00:00 GCap.domain.tld root: [GCap_suricata_tools.suricata-INFO] Detection Engine successfully started!                                   

• les actions effectuées via la commande gcap-cli

2022-02-03T16:47:50.636706+00:00 GCap.domain.tld GCap-setup (root) [main main.py handle_shell 656] : [GCap_cli.main-NOTICE] Starting CLI                            
2022-02-03T16:47:50.636768+00:00 GCap.domain.tld GCap-setup (root) [main main.py handle_shell 676] : [GCap_cli.main-INFO] Acquiring lock                            2022-02-03T16:47:50.636832+00:00 GCap.domain.tld GCap-setup (root) [main main.py handle_shell 686] : [GCap_cli.main-INFO] Running single CLI command                
2022-02-03T16:47:50.784347+00:00 GCap.domain.tld GCap-setup (root) [main main.py default 530] : [GCap_cli.main-NOTICE] [user root] Running CLI command 'show logs var-log-kernel'                                                                                                                                                                            2022-02-03T16:47:50.784889+00:00 GCap.domain.tld GCap-setup (root) [inspect inspect.py run 332] : [GCap_setup.inspect-NOTICE] Starting inspect procedure            
2022-02-03T16:47:50.784930+00:00 GCap.domain.tld GCap-setup (root) [inspect inspect.py run 339] : [GCap_setup.inspect-NOTICE] Selecting inspection action: `View kernel logs (/var/log/kern.logs)`                                                                                                                                                           
2022-02-03T16:47:51.714026+00:00 GCap.domain.tld GCap-setup (root) [inspect inspect.py run 336] : [GCap_setup.inspect-NOTICE] Stopping inspect procedure            
2022-02-03T16:47:51.718373+00:00 GCap.domain.tld GCap-setup (root) [main main.py handle_shell 710] : [GCap_cli.main-NOTICE] [user root] Stopping CLI                

---

8.1.6. Événements de debug : var-log-debug

Ce journal contient les événements de debug.
Cette entrée est principalement utilisée par le support lors de dépannage avancé.

---

8.1.7. Agrégation de différents journaux : var-log-messages

Ce journal contient l'agrégation de différents journaux cités ci-dessus.

---

8.1.8. Informations de lancement des tâches planifiées : var-log-cron

Ce journal contient les informations de lancement des tâches planifiées.

---