Agent Snare

Fiche logiciel validé
  • Création ou MAJ importante : 11/04/11
  • Correction mineure : 21/11/13
Mots-clés
Pour aller plus loin
  • Fiches logiciel PLUME connexes :

Agent Snare : distribution de journaux d’évènements Windows

  • Site web
  • Système : Windows
  • Téléchargement
  • Version évaluée : 3.1.9.1 et 1.1.7.1 (compatible Vista et +)
  • Langue(s) de l'interface : anglais
  • Licence : gpl

    Il existe une version "serveur" de type commercial. Les agents sont disponibles pour Linux, Windows, Solaris, IIS, Lotus Notes, Irix, AIX et ISA entre autres.

Description
Fonctionnalités générales

L’agent SNARE (System iNtrusion Analysis and Reporting Environment) pour Windows fournit une interface de filtrage, de contrôle et de distribution à distance des données des journaux d’évènements. Installé sur les postes windows, il permet de rediriger les logs et de les centraliser sur un serveur. Il est compatible avec la plupart des serveurs : syslog-ng, php-syslog-ng, Snare Server, etc.
Il est développé en C et C++.

Autres fonctionnalités

Sous Windows, le système de logs utilise les journaux d’évènements pour enregistrer un audit. On ne peut pas comme sous Linux spécifier que l’on désire envoyer les alertes de logs sur une autre machine, en vue de les centraliser. De plus, ces journaux d’évènements ne répondent pas aux normes RFC 3164 du format syslog Unix. Snare permet de récupérer sous forme de trames Syslog compatibles à la norme la majorité des évènements sous environnement Windows.

Ses avantages sont les suivants :

  • Interface web d'administration très simple
  • Possibilité de gérer les logs Active Directory et DNS
  • Possibilité de configurer la forme des logs envoyés (niveau, facilité)
  • Basé sur un service lancé au démarrage
  • Entièrement paramétrable à distance via une interface Intranet (port 6161)
  • Possibilité de filtrage des évènements à envoyer
Interopérabilité

Support du standard évènements syslog : RFC 3164.

Contexte d'utilisation dans mon laboratoire/service

L'agent Snare est installé sur les postes windows du laboratoire ( environ 50 ) pour rediriger les logs et les centraliser sur un serveur php-syslog-ng.

Limitations, difficultés, fonctionnalités importantes non couvertes

Je n'ai pas effectué de test des versions antérieures à Windows XP Professionnel (windowsNT, 2000, 98, etc).

Environnement du logiciel
Plates-formes

Windows NT/2000/XP/2003 pour la version 3.1.9.1
Windows Vista/2008/Windows 7 pour la version 1.1.7.1

Logiciels connexes
Autres logiciels aux fonctionnalités équivalentes

Ntsyslog : http://ntsyslog.sourceforge.net/
Agent Epilog (pour relever les eventlog des serveurs Exchange et/ou IIS) : http://www.intersectalliance.com/projects/EpilogWi...

Environnement de développement
Type de structure associée au développement

Alliance Intersection (Société Australienne) fournit une gamme de logiciels et de services dans le domaine de la sécurité informatique (http://www.intersectalliance.com)
http://sourceforge.net/projects/snare/

Références d'utilisateurs institutionnels
Environnement utilisateur
Liste de diffusion ou de discussion, support et forums
Documentation utilisateur