In [1]:
import requests
import pandas as pd
from datetime import datetime, timedelta

# --- CONFIGURATION CRITIQUE ---

# Si vous √™tes DANS Jupyter (le conteneur Docker), le nom d'h√¥te est "loki"
# Si vous √™tes sur votre PC (en dehors de Docker), le nom d'h√¥te est "localhost"
LOKI_HOST = "localhost" 
LOKI_PORT = "3100"

# L'erreur venait d'ici : il manquait "http://" au d√©but
BASE_URL = f"http://{LOKI_HOST}:{LOKI_PORT}"

# On construit l'URL compl√®te
LOKI_URL = f"{BASE_URL}/loki/api/v1/query_range"

# On cible le conteneur de la victime (le serveur SSH)
# On cherche les logs contenant "Failed password"
QUERY = '{container="victim_server"} |= "Failed password"'

print(f"Test de connexion vers : {BASE_URL}/ready")
try:
    # Petit test pour voir si Loki r√©pond avant de lancer la grosse requ√™te
    r = requests.get(f"{BASE_URL}/ready")
    if r.status_code == 200:
        print("‚úÖ Connexion √† Loki r√©ussie !")
    else:
        print(f"‚ö†Ô∏è Loki r√©pond mais n'est pas pr√™t (Code: {r.status_code})")
except Exception as e:
    print(f"‚ùå Impossible de joindre Loki : {e}")

    

Test de connexion vers : http://localhost:3100/ready
‚úÖ Connexion √† Loki r√©ussie !


In [2]:
def get_attack_logs():
    # On regarde les 5 derni√®res minutes
    end_time = datetime.now()
    start_time = end_time - timedelta(minutes=5)
    
    # Param√®tres conformes √† l'API Loki
    params = {
        'query': QUERY,
        'start': int(start_time.timestamp() * 1e9), # Nanosecondes
        'end': int(end_time.timestamp() * 1e9),
        'limit': 1000,
        'direction': 'BACKWARD'
    }
    
    print(f"üîç Interrogation de : {LOKI_URL} avec la requ√™te : {QUERY}")
    
    try:
        response = requests.get(LOKI_URL, params=params)
        response.raise_for_status() # L√®ve une erreur si code != 200
        data = response.json()
        return data['data']['result']
    except requests.exceptions.RequestException as e:
        print(f"‚ùå Erreur API : {e}")
        return []
def analyze_bruteforce(logs):
    if not logs:
        print("üì≠ Aucun log trouv√©.")
        return

    records = []
    for stream in logs:
        for entry in stream['values']:
            # Entry[0] est le timestamp en nanosecondes
            records.append({
                'timestamp': pd.to_datetime(int(entry[0]), unit='ns'), 
                'message': entry[1]
            })
    
    df = pd.DataFrame(records)
    print(f"üìã {len(df)} tentatives de connexion trouv√©es dans les logs.")

    # On trie par temps
    df = df.sort_values('timestamp')
    df.set_index('timestamp', inplace=True)

    # --- M√âTHODE 1 : Fen√™tre glissante (plus pr√©cis pour un SIEM) ---
    # On compte combien d'√©v√©nements surviennent dans une fen√™tre de 10 secondes
    df['rolling_count'] = df['message'].rolling('10s').count()
    
    # On d√©finit un seuil bas pour le TP (ex: plus de 3 tentatives en 10s)
    SEUIL = 3
    alerts = df[df['rolling_count'] > SEUIL]
    
    if not alerts.empty:
        print(f"\nüö® ALERTE SIEM : BRUTEFORCE D√âTECT√â !")
        print(f"Maximum d'attaques simultan√©es : {int(df['rolling_count'].max())}")
        print("Derni√®res alertes :")
        print(alerts[['message', 'rolling_count']].tail(5))
    else:
        print(f"‚úÖ Analyse : RAS. (Max d√©tect√© : {int(df['rolling_count'].max())}/10s, Seuil : {SEUIL})")

# Ex√©cution
logs_data = get_attack_logs()
analyze_bruteforce(logs_data)

üîç Interrogation de : http://localhost:3100/loki/api/v1/query_range avec la requ√™te : {container="victim_server"} |= "Failed password"
üìã 336 tentatives de connexion trouv√©es dans les logs.

üö® ALERTE SIEM : BRUTEFORCE D√âTECT√â !
Maximum d'attaques simultan√©es : 48
Derni√®res alertes :
                                                                         message  \
timestamp                                                                          
2026-02-17 21:47:58.936098092  Failed password for root from 172.26.0.8 port ...   
2026-02-17 21:47:58.936108592  Failed password for root from 172.26.0.8 port ...   
2026-02-17 21:47:58.936109925  Failed password for root from 172.26.0.8 port ...   
2026-02-17 21:47:58.943194008  Failed password for root from 172.26.0.8 port ...   
2026-02-17 21:47:58.955809717  Failed password for root from 172.26.0.8 port ...   

                               rolling_count  
timestamp                                     
2026-02-17 21:47:58.

In [3]:
def analyze_bruteforce_v2(logs):
    if not logs:
        print("üì≠ Loki est vide. V√©rifiez 'docker logs victim_server'")
        return

    records = []
    for stream in logs:
        for entry in stream['values']:
            records.append({'ts': pd.to_datetime(int(entry[0]), unit='ns')})
    
    df = pd.DataFrame(records).set_index('ts')
    
    # On regarde les 30 derni√®res secondes uniquement
    now = datetime.now()
    recent_cutoff = now - timedelta(seconds=30)
    # Note: On convertit en UTC car les logs Docker sont souvent en UTC
    recent_attacks = df[df.index > (recent_cutoff - timedelta(hours=1))] 

    count = len(recent_attacks)
    print(f"üî• {count} tentatives d√©tect√©es sur les 30 derni√®res secondes.")

    if count > 2: # Seuil tr√®s bas pour le TP
        print(f"üö® ALERTE SIEM : BRUTEFORCE EN COURS ({count} tentatives) !")
    else:
        print("‚úÖ Trafic calme.")



In [None]:
import time
from IPython.display import clear_output

try:
    while True:
        clear_output(wait=True)
        print(f"--- Monitoring SIEM en cours ({datetime.now().strftime('%H:%M:%S')}) ---")
        
        logs_data = get_attack_logs()
        analyze_bruteforce_v2(logs_data)
        
        print("\nProchaine analyse dans 10 secondes... (Arr√™tez avec le bouton Stop)")
        time.sleep(1)
except KeyboardInterrupt:
    print("Monitoring arr√™t√©.")

--- Monitoring SIEM en cours (22:48:10) ---
üîç Interrogation de : http://localhost:3100/loki/api/v1/query_range avec la requ√™te : {container="victim_server"} |= "Failed password"
üî• 48 tentatives d√©tect√©es sur les 30 derni√®res secondes.
üö® ALERTE SIEM : BRUTEFORCE EN COURS (48 tentatives) !

Prochaine analyse dans 10 secondes... (Arr√™tez avec le bouton Stop)
