Log des connexions Internet / Parefeu / Proxy / Portail Captif

Bonjour, Afin de conserver les logs des utilisateurs du réseau qui vont sur Internet, je cherche à installer une solution (gratuite ou payante).

Si j'avais uniquement une connexion wifi pour les utilisateurs à partir de leur matériel personnel, j'aurais mis un portail captif et en voiture Simone.

Mon soucis est que j'ai deux types d'utilisateurs et 2 types de connexions avec 3 types de "matériel".

1 => Utilisateurs : Personnels (personnes plutôt fixes en fonction des embauches, départs en retraite, démissions, …) et personnes externes séjournant dans l'établissement (personnes variables : présentes quelques jours, quelques semaines, …).

2 => Connexion : J'ai du Wifi et du câblé pour le personnel et uniquement du Wifi (différent du 1er) pour les autres utilisateurs.

3 => Type de matériel : Les PC fixes, portables du personnel, les terminaux des autres utilisateurs (tablettes, téléphone, PC portable), quelques PC fixes mis à disposition des utilisateurs non professionnels. La partie terminaux des utilisateurs ne pose pas soucis, on leur attribue un ID et un mdp. Par contre comment gérer cela sur les postes en libre service ? Un utilisateur se connecte s'identifie pour naviguer sur Internet mais comment le suivant se log ?

Autre soucis les postes des professionnels certains sont attribués à une personne définie (si elle verrouille sa session et qu'elle est toujours log au portail captif (ou autre solution retenue) personne ne pourra utiliser sa session) certains autres postes sont accessibles à plusieurs professionnels à partir d'une unique session (Mme X se co et s'authentifie, Mme Y arrive ensuite comment se log t elle ? (meme soucis que les postes en libres services pour les non professionnels).

J'espère avoir été clair, je suis un peu embêté pour pouvoir trouver une solution (ou 2) logicielles/matérielle pour résoudre ce soucis.

Merci d'avance pour vos retours

Logstash (+Elasticsearch et Kibana) (ou Splunk) sur une machine, et tu envoies les logs générés par ton proxy et ton firewall dessus ? (attention à la CNIL peut-être au niveau des logs proxy)

Ou alors j'ai pas très bien compris le problème. T'as plusieurs types de postes qui se peuvent accéder à l'Internet, et tu veux récupérer leurs logs de connexion/navigation ? Normalement peut importe la méthode de connexion au poste, ils devraient tous passer par un FW ou le proxy. Ton problème serait au niveau de l'identification de qui fait quoi ?

Alors en fait je cherche une solution pour garder les logs pendant 1'an (pour être dans le légal).

Le soucis c'est qu'il me faut une solution pour l'authentification.

Car Mme. X se connecte au portail captif d un poste libre service. Comment se déconnecte-t-elle ? pour que Mme. Y qui arrive ensuite se log avec ses identifiants.

Je suppose que l'identification se fait sur un portail web comme on trouve dans les universités/hotspot wifi etc.

Une partie des utilisateurs utilisent la même session avec le même compte AD, donc il faut pouvoir les différencier lors de leur navigation.

Que Mme. X qui s'est log en 1ere ne soit pas inquiétée car Mme. Y a consultée un site terroriste/pédophile/nazi/…

Je t'avoue ne pas bien suivre le fonctionnement.

Pour que les utilisateurs puissent accéder aux postes en libre service, il y a bien un AD quelque part qui défini que le compte toto/azerty existe bien et peut ouvrir une session. A ce moment-là, sur le serveur d'AD tu devrais avoir une ligne de log "session opened user:toto on 10.10.10.10", pareil à la déconnexion (après si les utilisateurs se déconnectent pas en quittant le poste, c'est un autre problème). Tu sauras que sur l'ip 10.10.10.10 tu as toto, et tu verras dans les logs proxy où cette machine va.

Concernant la conservation des logs, tu peux la définir comme tu le souhaites, faut juste que tu aies l'espace de stockage nécessaire pour contenir 1an de log (ça monte très vite en volume).

Désolé si c'est pas clair. Pour le personnel, nous avons des postes dans des bureaux avec un utilisateur unique (ex: directeur, RH, …) ensuite nous avons des postes en libre service connecté avec une session générique. L'utilisateur A et B utilise la même session. A partir de cette session ils pourront donc aller sur Internet. Donc on a une session AD mais potentiellement autant d'utilisateurs de cette session que d'employés qui travaillent dans le service.

D'où mon interrogation sur la connexion/déconnexion du système d'authentification.

Dac, en fait j'ai pas trop le choix pour les sessions génériques. On a des utilisateurs qui utilisent les PC pour se connecter en TSE ensuite pour lancer un logiciel, où il y a une identification pour l'utilisation. Merci pour les infos, donc en passant par une page web on peut déconnecter une session sans avoir à faire de grosses manip', c'est cool c'est ce qui me faisait un peu peur.

Encore merci.