NuLog2 : documentation utilisateur

Ce document présente le fonctionnement de Nulog2, l'interface Web de suivi et d'analyse de journaux d'un pare-feu Netfilter, authentifiant ou non.

Page d'accueil de Nulog2

La page d'accueil par défaut de Nulog2 synthétise diverses informations sur les flux observés, dans des fragments :

  • Utilisateurs dont le trafic a été le plus rejeté

  • Adresses IP ayant émis le plus de connexions rejetées

  • Ports TCP les plus bloqués

  • Ports UDP les plus bloqués

    accueil.png

    Page d'accueil de Nulog2

Chacune de ses vues est personnalisable. En passant la souris sur la barre de titre d'un des fragments, on voit apparaître divers éléments. Le triangle noir, sur la gauche, permet d'afficher un menu. À partir de ce menu, on peut demander un affichage des données en tableau (affichage par défaut), en diagramme, ou en camembert. Le nombre d'éléments pris en compte pour l'affichage peut également être modifié à la volée.

diagramme_tcp_reject.png

Un fragment affiché par diagramme : ports les plus rejetés

Le bouton CSV, quant à lui, permet de générer un export au format "Comma separated variables" (CSV) des informations du fragment.

Colonne de gauche

La colonne affichée sur la gauche de la page présente également des informations de synthèse, notamment la valeur instantanée du taux de paquets réseaux rejetés par le pare-feu, sur des échelles d'une, cinq et quinze minutes.

menu_gauche.png

Juste en dessous, des liens sont proposés :

Suivi de connexions

Ce lien demande l'affichage d'une page qui présente toutes les connexions authentifiées actuellement ouvertes au niveau du pare-feu.

Liste des derniers paquets

La page affichée à partir de ce lien présente les derniers paquets journalisés par le pare-feu, indépendamment de tout autre critère.

Recherche

Ce lien génère l'affichage d'une fenêtre de recherche, qui permettra d'afficher les connexions correspondant à des critères choisis par l'utilisateur. C'est également le moyen de rechercher des entrées dans les journaux sur des périodes anciennes. Les journaux qui ont fait l'objet d'une rotation de table SQL peuvent en particulier être requêtés par cette méthode.

N utilisateurs connectés

Présente, pour un pare-feu authentifiant NuFW, la liste des connexions utilisateur ouvertes. Chacune de ces connexions correspond à un agent NuFW actif.

Historique des sessions utilisateurs

Cette page présente le même type d'information que les utilisateurs connectés, mais avec l'historique. Les sessions ouvertes dans le passé, et désormais fermées, sont également affichées.

S'identifier

Propose à l'utilisateur de s'identifier sur Nulog2. Nulog2 permet à chaque utilisateur qui le consulte de personnaliser en profondeur l'affichage des données choisies, et s'identifier permettra à Nulog2 de conserver vos préférences d'affichage, même si l'utilisateur change d'ordinateur ou de navigateur.

Réinitialiser les paramètres

Réinitialise la page d'accueil de Nulog2. Son affichage est restauré, pour l'utilisateur en cours, tel qu'à la première utilisation de l'outil.

Navigation et affinage des critères d'affichage

En partant de la page d'accueil, l'utilisateur peut naviguer sur l'interface en cliquant sur les liens affichés sur chacun des fragments de l'interface. Les critères d'affichage se cumulent au fur et à mesure qu'ils sont choisis. Par exemple, en commençant par cliquer sur un numéro de port TCP, la page affichée présente un résumé spécialisé pour l'affichage des informations liées à ce port TCP. L'utilisateur peut, depuis cette vue, cliquer sur un nom d'utilisateur ou une adresse IP pour affiner les critères d'affichage. La page obtenue présentera les connexions concernées par les deux critères cumulés.

vue_filtrage.png

Cette page présente les flux triés selon les choix de l'utilisateur. Nous voyons ici toutes les connexions émises par l'application ssh, pour une destination donnée. Nous constatons que l'utilisateur lds dispose des droits pour s'y connecter, alors que l'utilisateur debian est bloqué.

L'utilisateur peut, dès lors, demander la suppression d'un de ces critères, à partir de la ligne "Filtre actif", en haut de l'écran : il suffit de cliquer sur le critère de filtrage que l'on souhaite supprimer.

Personnalisation de la page d'accueil

Chaque utilisateur peut ajouter des fragments de son choix à la page d'accueil. Il suffit, à partir de n'importe quelle page, sur le fragment choisi, de cliquer sur le coeur affiché dans la barre de titres.

Par ailleurs, le titre de chacun des fragments peut être changé au choix de l'utilisateur, en cliquant sur le crayon affiché à coté du titre existant.

Il est également possible de modifier le positionnement des différents fragments, en les déplaçant, depuis leur barre de titre, à la souris.