OSSEC + PRTG : alerte intrusion ET surveillance du bon fonctionnement

PRTG offrie un IHM évolué pour une supervision globale de systèmes comportant un grand nombre de composants. Cependant, dans l’état actuel, PRTG n’offre pas de moyen de détecter les intrusions comme le fait OSSEC.

En y intégrant des alertes en provenance d’OSSEC, il devient possible d’assurer un suivi de bon fonctionnement fondé à la fois sur les indices d’une intrusion et sur une éventuelle dégradation de performance. De plus, Monitoring by DnC va permettre d’examiner le détail d’une alerte, ce que ne permet pas PRTG.

Ce serveur communique avec PRTG

Le serveur Monitoring by DnC intègre un serveur Ossec dont il étend les possibilité en exposant un interface auquel PRTG peut accéder. Il s’agit d’un service HTTPD Rest local à ce serveur dont l’URL va être interrogée régulièrement par PRTG au moyen du capteur (sensor) HTTP Data Advanced. PRTG attend une réponse dans un format XML très précis, ce qui impose de préparer les données au niveau de ce serveur.

Voici un exemple de suivi par PRTG de plusieurs agents Ossec avec le même sensor :

Ce serveur renseigne sur le détail des alertes

Malheureusement, le format exigé par PRTG est trop simple pour transporter des informations suffisamment détaillées sur la cause de l’alerte. D’ailleurs PRTG n’est pas conçu pour afficher de tels messages. PRTG ne sera donc utilisé que pour ce qu’il est : un système d’alerte et de monitoring d’un grand nombre de composants.

Monitoring by DnC fournira le détail de l’alerte, sans avoir à rechercher dans des logs. Voici le détail fourni pour l’alerte ci-dessus :