Technologie

Qu’est ce sont les journaux et pourquoi les superviser ?

janvier 23, 2021

Qu’est ce sont les journaux et pourquoi les superviser ?

This post is also available in : Anglais Espagnol

Qu’est ce sont les journaux, à quoi ils servent et les principales types de journaux

En informatique au niveau général, parler de « log », c’est se référer à une information de niveau plus ou moins bas rapportée par le système d’exploitation ou une application spécifique qui sert à identifier ce qu’elle fait, y compris les erreurs, les problèmes ou les avertissements mineurs, et quand cela s’est produit, en indiquant la date, l’heure et la seconde. Dans certains cas, vous pouvez identifier la source, l’utilisateur, l’adresse IP et d’autres champs intéressants du point de vue de ce qui s’est passé.

Chaque application et chaque système d’exploitation peut avoir un format de journal différent ; en fait, bien qu’il existe une certaine norme d’unification des enregistrements de journaux – appelée génériquement syslog – la vérité est que la plupart des applications ont encore leurs propres formats.

Il convient de noter que le terme « journal » est si générique qu’il ne définit même pas comment ces informations sont stockées ni où elles sont stockées. En fait, les systèmes Microsoft Windows stockent des informations dans ce qu’ils appellent des « événements système », auxquels on accède par l’intermédiaire du visualiseur d’événements système. Chaque événement système de Windows comporte une série de champs qui définissent l’événement, sa criticité, le type d’information, la catégorie, etc.

Voici à quoi ressemble un événement Windows, qui serait le « journal » de Windows :

logs

Alors que dans Windows, le journal du système et des applications est presque toujours unifié dans l’observateur d’événements du système, dans les systèmes Unix (et j’inclus Linux dans cette catégorie), c’est beaucoup plus chaotique, et nous constaterons qu’il n’y a pas de journal unique mais qu’il y en a plusieurs et avec des formats différents.

Voici un exemple de journal (messages) de Linux :

Nov 17 04:19:52 cylon3 systemd: Stopping The Apache HTTP Server…
Nov 17 04:19:53 cylon3 systemd: Stopped The Apache HTTP Server.
Nov 17 04:19:54 cylon3 systemd: Starting The Apache HTTP Server…
Nov 17 04:19:54 cylon3 httpd: AH00558: httpd: Could not reliably determine the server’s fully qualified domain name, using fe80::4637:e6ff:fedd:fa27. Set the ‘ServerName’ directive globally to suppress this message
Nov 17 04:19:54 cylon3 systemd: Started The Apache HTTP Server.
Nov 17 04:20:41 cylon3 yum[26424]: Installed: php-imap-7.3.24-1.el7.remi.x86_64
Nov 17 04:20:42 cylon3 yum[26424]: Installed: php-ldap-7.3.24-1.el7.remi.x86_64
Nov 17 04:20:44 cylon3 yum[26424]: Installed: php-mbstring-7.3.24-1.el7.remi.x86_64
Nov 17 04:20:52 cylon3 systemd: Stopping The Apache HTTP Server…
Nov 17 04:20:53 cylon3 systemd: Stopped The Apache HTTP Server.
Nov 17 04:20:53 cylon3 systemd: Starting The Apache HTTP Server…
Nov 17 04:20:53 cylon3 httpd: AH00558: httpd: Could not reliably determine the server’s fully qualified domain name, using fe80::4637:e6ff:fedd:fa27. Set the ‘ServerName’ directive globally to suppress this message
Nov 17 04:20:53 cylon3 systemd: Started The Apache HTTP Server.
Nov 17 05:01:01 cylon3 systemd: Started Session 71 of user root.
Nov 17 06:01:01 cylon3 systemd: Started Session 72 of user root.
Nov 17 07:01:01 cylon3 systemd: Started Session 73 of user root.
Nov 17 07:20:32 cylon3 systemd: Starting Cleanup of Temporary Directories…

Sur les systèmes Linux, les journaux sont stockés dans des fichiers situés dans le répertoire /var/log, bien que de nombreux programmes gèrent leurs propres journaux et les stockent dans /var/log/. L’avantage de Linux est que la plupart des journaux sont des fichiers journaux en texte brut, accessibles et visibles depuis n’importe quel outil de manipulation de texte, contrairement aux événements Windows qui ne sont accessibles que par l’intermédiaire du visualiseur d’événements et/ou de l’API de bas niveau.

Voici quelques uns des journaux les plus importants de Linux qui devraient se trouver dans tous les systèmes :

  • /var/log/messages – Nous trouverons ici les journaux génériques du système. De nombreuses applications y déposent leurs journaux par l’intermédiaire du programme syslog qui collecte les événements des journaux des autres applications pour les mettre dans ce fichier.
  • /var/log/secure – Ce journal enregistre les ouvertures de session dans le système, les temps de connexion, etc. Les tentatives échouées sont enregistrées dans des lignes avec des informations du type mot de passe invalide ou échec d’authentification.
  • /var/log/dmesg – Ce fichier stocke les informations générées par le noyau lors du démarrage du système et d’autres événements qu’il peut générer en cours d’exécution. Il s’agit généralement de messages de bas niveau qui ne sont pas capturés par le sous-système syslog

Voici quelques journaux d’application typiques que nous pouvons éventuellement trouver :

  • /var/log/maillog – Journal des envois, généralement lié au sous-système d’envoi local (SMTP, Postfix, sendmail).
  • /var/log/pandora/pandora/pandora_agent.log – Pandora FMS monitoring agent log, qui nous informe sur chaque exécution et si elle a eu un problème.
  • /var/log/httpd/access_log – Log d’un serveur HTTP, telle que Apache.

¿À quoi servent les logs?

Cela dépendra de vos besoins, mais il est important de savoir que les journaux peuvent être essentiels du point de vue de la sécurité, de l’analyse de l’utilisation du système, des performances ou de la détection des pannes.

Les journaux sont parfois “ l’aliment préféré  » des techniques d’apprentissage machine pour détecter des schémas afin de vous aider à prendre des décisions.

Les journaux sont essentiels pour gérer et contrôler l’accès aux ressources ; cela est lié à l’audit de sécurité et aux produits dérivés.

Les logs peuvent être supervisés et vous pouvez établir des règles lorsqu’il survient un problème. C’est une des choses que systèmes tels que Pandora FMS font

En bref, les journaux peuvent nous aider à comprendre comment notre système est utilisé pour prévenir les fuites d’informations, ainsi que les comportements inappropriés qui provoquent des erreurs.

Il existent des différentes technologies qui servent à gérer les journaux de manière centralisée ; la plus connue mondialement est Splunk, et l’autre est Pandora FMS pour la collecte de journaux, qui permet stockage, collecte et gestion de journaux.

Qu’est-ce que Amazon CloudWatch Logs?

Amazon CloudWatch Logs sert à surveiller et à stocker les fichiers journaux d’Amazon Elastic Compute Cloud (Amazon EC2), AWS CloudTrail, Route 53 et d’autres sources Amazon.

CloudWatch Logs vous permet de centraliser les journaux de tous les systèmes, applications et services AWS que vous utilisez, en un seul service hautement évolutif. Vous pouvez y accéder et les consulter pour y rechercher des modèles ou des codes d’erreur spécifiques, définir des filtres basés sur le contenu de certains champs ou les archiver de manière sécurisée pour une analyse ultérieure.

Les journaux de CloudWatch vous permettent de visualiser tous vos enregistrements, quelle que soit leur source, sous la forme d’un flux unique et cohérent d’événements triés par date et heure, ainsi que de les interroger et de les trier selon d’autres dimensions, de les regrouper par champs spécifiques, etc. Il permet également d’exporter ces données afin que d’autres systèmes (tels que Splunk ou Pandora FMS) puissent les gérer en externe.


Leave a comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.