Modifications entre les versions 1 et 2
Version 1 à la date du 2016-01-11 11:03:51
Taille: 585
Éditeur: WillyManga
Commentaire:
Version 2 à la date du 2016-01-11 11:57:12
Taille: 5055
Éditeur: WillyManga
Commentaire:
Texte supprimé. Texte ajouté.
Ligne 10: Ligne 10:

Soit l'échantillon disponible [[ attachment:accesDecembre.txt | en pièce jointe ]] que j'appelerais `accesDecembre` dont je recopie ici quelques lignes ..

{{{
Dec 28 09:21:59 192.168.0.5 logportalauth[16669]: Zone: domaine1 - USER LOGIN: flikefack, b8:8d:12:2d:06:96, 192.168.34.163
Dec 28 10:58:38 192.168.0.5 logportalauth[16669]: Zone: domaine1 - USER LOGIN: sdjiogue, 50:f0:d3:d5:73:90, 192.168.34.57
Dec 28 14:07:42 192.168.0.5 logportalauth[13513]: Zone: domaine1 - USER LOGIN: rachel.enanga, e0:19:1d:77:97:02, 192.168.34.160
Dec 28 15:13:58 192.168.0.5 logportalauth[13513]: Zone: domaine1 - USER LOGIN: donfack, 84:db:ac:ef:68:ce, 192.168.34.157
Dec 28 15:13:59 192.168.0.5 logportalauth[13513]: Zone: domaine1 - USER LOGIN: donfack, 84:db:ac:ef:68:ce, 192.168.34.157
Dec 28 16:34:41 192.168.0.5 logportalauth[65514]: Zone: domaine1 - USER LOGIN: gmoudoute, d0:df:9a:23:93:4c, 192.168.34.29
Dec 28 17:48:04 192.168.0.5 logportalauth[51338]: Zone: domaine1 - USER LOGIN: amboneng, 0c:ee:e6:a7:4a:9d, 192.168.34.116
Dec 28 17:48:32 192.168.0.5 logportalauth[51338]: Zone: domaine1 - USER LOGIN: amboneng, 0c:ee:e6:a7:4a:9d, 192.168.34.116
Dec 28 18:10:10 192.168.0.5 logportalauth[51338]: Zone: domaine1 - USER LOGIN: flikefack, a4:db:30:2f:e8:03, 192.168.34.242
Dec 28 18:37:11 192.168.0.5 logportalauth[51338]: Zone: domaine1 - USER LOGIN: Visiteur2, d0:23:db:2b:5b:f9, 192.168.34.175
Dec 28 18:43:00 192.168.0.5 logportalauth[51338]: Zone: domaine1 - USER LOGIN: visiteur3, 98:52:b1:b8:c9:86, 192.168.34.75
Dec 28 19:03:36 192.168.0.5 logportalauth[48784]: Zone: domaine1 - USER LOGIN: Mouangue, b8:78:2e:a5:28:ed, 192.168.34.78
Dec 29 10:41:03 192.168.0.5 logportalauth[48784]: Zone: domaine1 - USER LOGIN: amboneng, 0c:ee:e6:a7:4a:9d, 192.168.34.116
Dec 29 12:48:42 192.168.0.5 logportalauth[48784]: Zone: domaine1 - USER LOGIN: sdjiogue, 84:29:99:66:35:5e, 192.168.34.33
Dec 29 12:57:06 192.168.0.5 logportalauth[48784]: Zone: domaine1 - USER LOGIN: Mouangue, b8:78:2e:a5:28:ed, 192.168.34.78
Dec 29 12:57:41 192.168.0.5 logportalauth[48784]: Zone: domaine1 - USER LOGIN: flikefack, a4:db:30:2f:e8:03, 192.168.34.242
}}}

/!\ Il s'agit en fait d'un premier tri effectué sur le log reçu et sur lequel je n'ai recupéré que les lignes `USER LOGIN` .

Que peut-on tirer comme informations à partir de ce fichier si on part sur un calcul mensuel ? :
 * comptes qui ont eu accès au portail captif : `awk '{user = substr($11,1,length($11)-1); print user}' accesDecembre | sort | uniq -i`
{{{
achamga
adjiyou
aeteme
aewane
...
}}}

  * nombre de comptes qui ont utilisé le portail captif `awk '{user = substr($11,1,length($11)-1); print user}' accesDecembre | sort | uniq -i | wc -l`
{{{
74
}}}
 * comptes et interfaces réseaux utilisés pour se connecter <<FootNote(Il ne faut jamais oublier qu'une personne peut se connecter avec plusieurs équipements)>> : `awk '{mac=substr($12,1,length($12)-1); print $11 mac}' accesDecembre | sort | uniq -i`
{{{
achamga,00:71:e2:ea:9b:37
achamga,1c:75:08:12:3f:77
achamga,5c:ac:4c:1d:8b:7d
adjiyou,00:1b:9e:f8:40:97
adjiyou,fc:19:10:0c:fe:5d
aeteme,fc:19:10:89:fe:3f
aewane,70:56:81:ac:32:d5
akwontch,00:08:22:59:5f:38
amboneng,06:79:d5:db:33:c8
amboneng,0c:ee:e6:a7:4a:9d
amboneng,80:c5:e6:9e:66:94
amboneng,a4:17:31:ab:fe:9f
amfochive,00:27:15:47:23:59
amfochive,54:27:1e:b1:8d:be
...
}}}
Au delà de 3 voire 2 équipements réseaux différents il faudrait à mon avis se rapprocher tout de même de l'usager pour savoir s'il ne «prête» pas son compte à d'autres personnes :)

  * nombre d'accès au total tout couple compte+équipement réseau confondu : `awk '{print $11$12}' accesDecembre | sort | uniq -i | wc -l`
{{{
182
}}}
  * nombre de connexion pour chaque couple compte+ équipement réseau classé par ordre décroissant ` awk '{mac=substr($12,1,length($12)-1); print $11 mac}' accesDecembre | sort | uniq -ci | sort -nr`
{{{
    131 formation,28:e3:47:42:a9:96
    101 Formation,0c:84:dc:a0:1b:2b
     95 formation,00:1f:3c:64:5b:80
     82 formation,18:f4:6a:98:ec:93
     60 flikefack,a4:db:30:2f:e8:03
     56 Formation,2c:33:7a:55:dc:39
     53 formation,20:10:7a:55:95:3d
     48 stewo,cc:3a:61:64:71:94
     43 donfack,84:db:ac:ef:68:ce
     42 Joanne.nyoth,b8:64:91:8a:98:b2
     30 augustinejiogo,08:ed:b9:37:47:c6
     27 pkolomdja,44:6d:6c:45:a8:30
     24 Mouangue,b8:78:2e:a5:28:ed
...
}}}

----

Notes sur les stats qu'on peut tirer de l'accès à nos ressources dans les CNF ...

Accès nomade

Les accès nomade sont réalisés actuellement grâce à un portail captif (pfsense) qui demande de la part de l'utilisateur de montrer patte blanche avant de continuer(bref le rôle d'un portail).

Ces accès sont journalisés. Les journaux ainsi obtenus peuvent permettre de tirer quelques informations sur l'usage des ressources informatiques dans un CNF.

A Yaoundé, pfsense envoie le journal d'authentification à un serveur de supervision grâce à rsyslog .

Soit l'échantillon disponible en pièce jointe que j'appelerais accesDecembre dont je recopie ici quelques lignes .. 

Dec 28 09:21:59 192.168.0.5 logportalauth[16669]: Zone: domaine1 - USER LOGIN: flikefack, b8:8d:12:2d:06:96, 192.168.34.163
Dec 28 10:58:38 192.168.0.5 logportalauth[16669]: Zone: domaine1 - USER LOGIN: sdjiogue, 50:f0:d3:d5:73:90, 192.168.34.57
Dec 28 14:07:42 192.168.0.5 logportalauth[13513]: Zone: domaine1 - USER LOGIN: rachel.enanga, e0:19:1d:77:97:02, 192.168.34.160
Dec 28 15:13:58 192.168.0.5 logportalauth[13513]: Zone: domaine1 - USER LOGIN: donfack, 84:db:ac:ef:68:ce, 192.168.34.157
Dec 28 15:13:59 192.168.0.5 logportalauth[13513]: Zone: domaine1 - USER LOGIN: donfack, 84:db:ac:ef:68:ce, 192.168.34.157
Dec 28 16:34:41 192.168.0.5 logportalauth[65514]: Zone: domaine1 - USER LOGIN: gmoudoute, d0:df:9a:23:93:4c, 192.168.34.29
Dec 28 17:48:04 192.168.0.5 logportalauth[51338]: Zone: domaine1 - USER LOGIN: amboneng, 0c:ee:e6:a7:4a:9d, 192.168.34.116
Dec 28 17:48:32 192.168.0.5 logportalauth[51338]: Zone: domaine1 - USER LOGIN: amboneng, 0c:ee:e6:a7:4a:9d, 192.168.34.116
Dec 28 18:10:10 192.168.0.5 logportalauth[51338]: Zone: domaine1 - USER LOGIN: flikefack, a4:db:30:2f:e8:03, 192.168.34.242
Dec 28 18:37:11 192.168.0.5 logportalauth[51338]: Zone: domaine1 - USER LOGIN: Visiteur2, d0:23:db:2b:5b:f9, 192.168.34.175
Dec 28 18:43:00 192.168.0.5 logportalauth[51338]: Zone: domaine1 - USER LOGIN: visiteur3, 98:52:b1:b8:c9:86, 192.168.34.75
Dec 28 19:03:36 192.168.0.5 logportalauth[48784]: Zone: domaine1 - USER LOGIN: Mouangue, b8:78:2e:a5:28:ed, 192.168.34.78
Dec 29 10:41:03 192.168.0.5 logportalauth[48784]: Zone: domaine1 - USER LOGIN: amboneng, 0c:ee:e6:a7:4a:9d, 192.168.34.116
Dec 29 12:48:42 192.168.0.5 logportalauth[48784]: Zone: domaine1 - USER LOGIN: sdjiogue, 84:29:99:66:35:5e, 192.168.34.33
Dec 29 12:57:06 192.168.0.5 logportalauth[48784]: Zone: domaine1 - USER LOGIN: Mouangue, b8:78:2e:a5:28:ed, 192.168.34.78
Dec 29 12:57:41 192.168.0.5 logportalauth[48784]: Zone: domaine1 - USER LOGIN: flikefack, a4:db:30:2f:e8:03, 192.168.34.242

/!\ Il s'agit en fait d'un premier tri effectué sur le log reçu et sur lequel je n'ai recupéré que les lignes USER LOGIN .

Que peut-on tirer comme informations à partir de ce fichier si on part sur un calcul mensuel ? :

  • comptes qui ont eu accès au portail captif : awk  '{user = substr($11,1,length($11)-1); print user}' accesDecembre | sort | uniq -i 

achamga
adjiyou
aeteme
aewane
...

  • nombre de comptes qui ont utilisé le portail captif awk  '{user = substr($11,1,length($11)-1); print user}' accesDecembre | sort | uniq -i | wc -l 

74

  • comptes et interfaces réseaux utilisés pour se connecter 1 : awk  '{mac=substr($12,1,length($12)-1); print $11 mac}' accesDecembre | sort | uniq -i 

achamga,00:71:e2:ea:9b:37
achamga,1c:75:08:12:3f:77
achamga,5c:ac:4c:1d:8b:7d
adjiyou,00:1b:9e:f8:40:97
adjiyou,fc:19:10:0c:fe:5d
aeteme,fc:19:10:89:fe:3f
aewane,70:56:81:ac:32:d5
akwontch,00:08:22:59:5f:38
amboneng,06:79:d5:db:33:c8
amboneng,0c:ee:e6:a7:4a:9d
amboneng,80:c5:e6:9e:66:94
amboneng,a4:17:31:ab:fe:9f
amfochive,00:27:15:47:23:59
amfochive,54:27:1e:b1:8d:be
...

Au delà de 3 voire 2 équipements réseaux différents il faudrait à mon avis se rapprocher tout de même de l'usager pour savoir s'il ne «prête» pas son compte à d'autres personnes :)

  • nombre d'accès au total tout couple compte+équipement réseau confondu : awk  '{print $11$12}' accesDecembre | sort | uniq -i | wc -l 

182

  • nombre de connexion pour chaque couple compte+ équipement réseau classé par ordre décroissant  awk  '{mac=substr($12,1,length($12)-1); print $11 mac}' accesDecembre | sort | uniq -ci | sort -nr 

    131 formation,28:e3:47:42:a9:96
    101 Formation,0c:84:dc:a0:1b:2b
     95 formation,00:1f:3c:64:5b:80
     82 formation,18:f4:6a:98:ec:93
     60 flikefack,a4:db:30:2f:e8:03
     56 Formation,2c:33:7a:55:dc:39
     53 formation,20:10:7a:55:95:3d
     48 stewo,cc:3a:61:64:71:94
     43 donfack,84:db:ac:ef:68:ce
     42 Joanne.nyoth,b8:64:91:8a:98:b2
     30 augustinejiogo,08:ed:b9:37:47:c6
     27 pkolomdja,44:6d:6c:45:a8:30
     24 Mouangue,b8:78:2e:a5:28:ed
...

  1. Il ne faut jamais oublier qu'une personne peut se connecter avec plusieurs équipements (1)

WillyManga/Notes/StatsUsagersCNF (dernière édition le 2016-01-11 11:59:51 par WillyManga)