Analyseur de journaux Cisco

Les routeurs, commutateurs et pare-feux Cisco figurent parmi les périphériques réseau les plus répandus sur le marché. Les routeurs et commutateurs déterminent les itinéraires optimaux pour le transfert des paquets de données à travers le réseau, tandis que les pare-feux et les systèmes IDS/IPS inspectent et filtrent ces paquets afin de détecter tout contenu malveillant, garantissant ainsi la sécurité de l’infrastructure réseau. L’absence de surveillance et d’analyse de ces équipements peut compromettre à la fois la communication et la sécurité globale du système.

Avantages de l’analyse réseau Cisco

L’analyse des journaux générés par vos périphériques Cisco vous permet de :

• Suivre les activités de connexion pour détecter rapidement les erreurs d’authentification.
• Vérifier la bonne configuration des équipements afin de prévenir toute erreur de paramétrage.
• Examiner l’ensemble des connexions entrantes et sortantes sur vos routeurs et commutateurs (y compris celles refusées), et identifier les périphériques source et destination les plus fréquemment sollicités.
• Analyser le trafic en fonction des protocoles utilisés, tels que TCP, UDP ou ICMP.
• Surveiller l’utilisation des ports pour réagir rapidement en cas de dysfonctionnement.
• Passer en revue les événements système critiques et repérer les équipements nécessitant une intervention immédiate.
• Détecter les erreurs de flux réseau afin de corriger les anomalies les plus récurrentes.

Gestion Cisco avec le serveur Syslog d’EventLog Analyzer

Avec un serveur Syslog Cisco tel qu’EventLog Analyzer, la surveillance et l’analyse de votre réseau Cisco deviennent plus simples et plus efficaces.

Le serveur Syslog intégré d’EventLog Analyzer offre les fonctionnalités suivantes :

• Des rapports préconfigurés détaillent l’activité des routeurs et des commutateurs, vous permettant de visualiser les données via un tableau de bord interactif et intuitif.
• Les rapports de tendances permettent d’identifier des schémas d’utilisation, tandis que les rapports « Top N » révèlent les utilisateurs et les appareils les plus souvent associés à certains événements.
• Vous pouvez facilement passer de l’affichage graphique des rapports à la consultation des journaux en texte brut.
• Des alertes personnalisables en temps réel vous dispensent de toute surveillance manuelle continue.
• Des capacités d’analyse avancée facilitent la recherche et l’extraction rapide des journaux pertinents.

Comment configurer les périphériques Cisco dans EventLog Analyzer

1. Connectez-vous à EventLog Analyzer.
2. Cliquez sur le bouton + Ajouter dans le coin supérieur droit, puis sélectionnez Périphériques dans le menu déroulant.
3. Accédez à l’onglet Périphériques Syslog, puis cliquez sur + Ajouter Périphérique(s).
4. Saisissez les adresses IP des périphériques Cisco présents sur votre réseau, puis cliquez sur Ajouter.
5. Vous pouvez ensuite définir des alertes et générer des rapports spécifiques pour ces périphériques en utilisant les onglets Alertes et Rapports.

Cette solution facilite la surveillance des journaux Cisco dans les domaines suivants :

• Surveillance des routeurs Cisco : surveillez les journaux système des routeurs Cisco pour obtenir des informations sur les connexions, les modifications de configuration, les détails de trafic et les événements système.
• Surveillance des commutateurs Cisco : suivez les activités des commutateurs, notamment les informations liées au trafic et aux événements système.
• Surveillance des pare-feux Cisco : surveillez le trafic, les modifications de comptes, les connexions et les menaces sur les pare-feux Cisco ASA et Cisco PIX.
• Surveillance VPN Cisco : analysez les connexions VPN à distance et les informations utilisateur associées sur les appareils Cisco ASA.
• Surveillance IDS/IPS Cisco : identifiez les tentatives d’attaque, les types d’attaques détectées et les équipements les plus fréquemment ciblés.

Rapports de connexion au routeur

• Auditez toutes les connexions réussies aux routeurs.
• Obtenez les détails des connexions SSH et VPN.
• Affichez toutes les erreurs d’authentification ou d’autorisation VPN.
• Consultez l’historique des connexions réussies et échouées, classées par périphérique, utilisateur et périphérique distant.
• Identifiez les tendances et comportements inhabituels en analysant les schémas de connexion.

Rapports disponibles

Connexions | Connexions échouées | Mauvaises authentifications | Connexions SSH | Connexions SSH échouées | Sessions SSH fermées | Connexions VPN échouées | Erreurs d’autorisation VPN | Principales connexions par périphérique | Principales connexions par utilisateur | Principales connexions par périphérique distant | Principales connexions échouées par périphérique | Principales connexions échouées par utilisateur | Principales connexions échouées par périphérique distant | Principales erreurs d’authentification VPN par interface | Principales erreurs d’authentification VPN par utilisateur | Principales erreurs d’autorisation VPN par interface | Principales erreurs d’authentification VPN par utilisateur | Principales connexions SSH par périphérique distant | Principales connexions SSH par utilisateur | Principales connexions SSH échouées par périphérique distant | Principales connexions SSH échouées par utilisateur | Tendances de connexion | Tendances des connexions échouées

Rapports de configuration du routeur

• Affichez les détails de toutes les liaisons montantes et descendantes.
• Suivez les modifications de configuration et les changements d’état des liaisons réseau.
• Identifiez toutes les erreurs de liaison, y compris celles qui se produisent le plus fréquemment.
• Consultez les principales modifications de configuration classées par utilisateur et par périphérique distant.

Rapports disponibles

Rapports sur les liaisons montantes | Rapports sur les liaisons descendantes | Rapports sur les liaisons montantes et descendantes | Changements d’état des liaisons | Changements de configuration | Redémarrages du système | Erreurs de liaison | Principaux changements d’état | Principaux changements de configuration | Principaux changements de configuration par utilisateur | Principaux changements de configuration par périphérique distant | Principales erreurs de liaison

Rapports sur les connexions du routeur

• Affichez tous les détails relatifs aux connexions acceptées ou refusées par vos routeurs.
• Ces connexions sont classées selon la source, la destination et le protocole utilisé.
• Des rapports de tendance sont également disponibles pour l’ensemble des connexions.

Rapports disponibles

Connexions autorisées | Principales connexions par source | Principales connexions par destination | Principales connexions par protocole | Tendances des connexions autorisées | Connexions refusées | Principales connexions refusées par source | Principales connexions refusées par destination | Principales connexions refusées par protocole | Tendances des connexions refusées

Rapport de trafic du routeur par protocole

• Auditez l’ensemble du trafic TCP, UDP et ICMP transitant par vos routeurs.
• Identifiez les sources générant le plus de trafic pour chaque protocole.

Rapports disponibles

Audit du trafic TCP | Audit du trafic UDP | Audit du trafic ICMP | Vue d’ensemble de l’audit du trafic | Top trafic TCP par source | Top trafic UDP par source | Top trafic ICMP par source | Audit du top trafic par source

Événements système du routeur et du commutateur

• Suivez les événements critiques du système liés aux interfaces du routeur, aux ventilateurs, à la mémoire, aux horloges, aux ports et à l'alimentation.

Rapports disponibles

Commandes exécutées | Interface active | Interface désactivée (défaillance de la liaison) | Port individuel inactif | Ventilateur défaillant | Ventilateur en état de fonctionnement | Rapport sur l’alimentation | Échec d’allocation mémoire | Mises à jour de l’horloge système | Rapport d’alimentation programmée | Température système dépassée | Arrêt système dû à la température | Interface suspendue pour raison de vitesse

Erreurs de trafic du routeur

• Identifiez les erreurs de communication réseau telles que les problèmes liés au transfert de fragments de données ou aux requêtes ARP (Address Resolution Protocol).

Rapports disponibles

Trop de fragments | Longueur de fragment non valide | Fragments superposés | DHCP snooping refusé | Requêtes ARP autorisées | Requêtes ARP refusées