Bonjour,
 
J'ai un fichier log à analyser. J'ai essayé d'utiliser Splunk et Manage Engine FireWall Analyzer.  
Sauf que je n'ai pas la même interprétation avec les deux outils.  
 
Mais je me demande si Splunk est vraiment bien adapter pour se type de log. Je ne comprends pas à quoi sert la "count" qu'il y a à chaque variable.
Enfaite je voudrais faire apparaitre le volume de paquet  envoyé ou en réception suivant les adresses IP source.  
Avez-vous une idée pour faire cela?
 
Merci

hmm, à l'arrache tu pourrais créer une adresse dans "firewall objects" et tu rattaches une policy à cet objet en activant le count.
A mettre avant les autres policy plus générales bien évidemment sinon ça ne va jamais taper dedans.

Merci de ta réponse.  
Mais j'ai pas très bien compris. Ou se trouve le "firewall objects"  
Je suppose que tu parle de la zone "New Search".
Par exemple: sourcetype="20140416-traffic"| top limit=20 src rcvd
pour moi ça sa devrait afficher le nombre de bytes  qui reçoivent les top 20 adresses IP.  
ça te dit quelque chose ?

Je pense que tu vas chercher cette indication dans Log&Report où tu peux filtrer suivant une source/destination/autre.
Le problème de Log&Report c'est que c'est limité dans le temps par la mémoire du FG et en plus je ne suis pas sûr que tu puisses obtenir l'information que tu souhaites.
Et je ne trouve pas de Log (sur mon 60C) qui le permette non plus.
 
Ma solution consiste à visualiser le total de packets (émission/réception sans distinction) et la volumétrie globale dans la vue des règles du firewall.
Pour cela tu dois définir une règle avec une IP (qu'il faut préalablement configurer dans les Firewall Objects). Cette doit/peut être la même que ta règle générale permettant l'accès au net à tout ton réseau. Il faut juste qu'elle soit traitée avant cette dernière pour qu'elle soit prise en compte et que le compteur tourne.

Et dans la pratique ça donne ça :

Ou l'objet dans "Source" serait ton adresse ip configurée dans Firewall Objects.

Ok dac. Mais toi tu analyse en direct les flux sur ton fortigate ou c'est un fichier extrait en .log  
Parce que j'ai pas la même interface que toi j'ai l'impression. Le log&report pour moi se serait Search&report.
Je récupère se fichier sur l'extranet de sfr.  
Un exemple graphique:

 
Pour ma source c'est une adresse IP local et donc elle reçoit des bytes (pour rcvd: received) mais je vois pas à quoi correspond le "count" ?  
Est ce qu'il faut faire comme ça ou je suis complétement à coté de la plaque?

Heu, je fais ces manips en direct sur notre Fortigate.
Là ton logiciel je ne connais pas du tout.
Le count c'est un compteur, faudrait savoir à quoi correspond le "1626" pour comprendre ce à quoi fait référence son compteur.
Le compteur dans les policy Fortigate c'est le nombre de packets ayant transités + la volumétrie associée.

bah oui voilà c'est bien se que je pensais. J'ai pas accès au Fortigate.  
Donc ça va être compliqué. Tu ne connais pas de logiciel d'analyse de log?

heu nop

Salut,
 
pour l'analyse de logs, tu as le trio Elasticsearch/Kibana/Logstash.
 
Ca demande un peu de configuration mais ça tourne pas mal. On a mis ça en place chez nous pour l'analyse d'un équipement Netasq, et la on installe aussi du Fortinet et on verra ce que ça donne

Merci rémi. Mais la sa demande pas mal de taf or je n'ai plus grand temps pour faire ça. Je voulais continuer sur l'outil SPLUNK qui est assez complet.

Bonjour pierra56,
 
En fait, la colonne Count correspond au nombre de paquets ayant la valeur à gauche de cette colonne sur ta capture. C'est juste un compteur.
 
Tu as donc 15867 paquets avec une valeur de la variable rcvd égale à 1626.
 
Pour ta recherche tu peux faire host="Pierra-PC" src="10.240.10.29" | stats sum(sent) as sent sum(rcvd) as rcvd
 
Ca doit te retourner la somme des variables sent et rcvd.
Le as ... ne sert qu'à donner un nom plus convivial lors du retour du tableau de résultat.
 
Si tu veux savoir à qui cette ip parle le plus tu peux rajouter by dst | sort -sent ou by dst | sort -rcvd en fonction de quelle colonne tu veux trier.
 
Dans un deuxième temps, tu pourras certainement être intéressé d'installer l'application splunk for fortigate disponible ici
http://apps.splunk.com/app/1063/

Merci Rancor de ta réponse. J'ai eu exactement la même sur le forum officiel de splunk.
 
Pour ce qui est de l'appli fortigate je l'ai installé mais je sais pas comment l'utiliser. J'ai l'impression qu'elle fonctionne quand live sur le fortigate. Or moi c'est des fichiers .log que l'on me donne.  
Tu l'as déjà utilisé !?

Oui je l'ai déja utilisé mais seulement avec envoie direct des logs depuis le fortigate.
 
Tu peux essayer de spécifier le source type à fortigate lorsque tu importes ton fichier de log. C'est dans more settings, set sourcetype --> manuel puis source type, fortigate.

Merci, j'ai une erreur quand j'essaie d'injecter mon fichier de log:
 
Your entry was not saved. The following error was reported: SyntaxError: JSON.parse: unexpected character at line 1 column 1 of the JSON data.
 
Sait tu ce que ça veut dire?

Malheureusement, pas du tout. Désolé.

Je conseille aussi Elasticsearch/Kibana/Logstash, sinon Graylog2