Il est difficile de croire qu’un fichier texte puisse être important pour le bon fonctionnement d’une entreprise.

En effet, un journal, dans sa forme la plus élémentaire, n’est rien d’autre que cela.

Cependant, ce n’est pas qu’ils sont importants, c’est qu’ils sont vitaux.

Voyons cela de plus près.

Qu’est-ce qu’un log et à quoi sert-il ?

En informatique générale, parler de “log”, c’est faire référence à des informations de plus ou moins bas niveau remontées par le système d’exploitation ou une application spécifique.

Ces informations permettent d’identifier ce qui se passe dans le système, y compris les erreurs, les problèmes ou les avertissements mineurs, et le moment où cela s’est produit, en indiquant la date, l’heure et la seconde.

Dans certains cas, la source, l’utilisateur, l’adresse IP et d’autres champs d’intérêt du point de vue de ce qui s’est passé peuvent être identifiés.

Chaque application et chaque système d’exploitation peut avoir un format de journal différent ; en fait, bien qu’il existe une certaine norme d’unification des enregistrements de journaux – appelée génériquement syslog – la vérité est que la plupart des applications ont encore leurs propres formats.

Notez que le terme “journal” est si générique qu’il ne définit même pas comment ou où ces informations sont stockées. En fait, les systèmes Microsoft Windows stockent les informations dans ce qu’ils appellent les “événements système”, auxquels on accède par l’intermédiaire de la visionneuse d’événements système. Chaque événement système dans Windows comporte une série de champs qui définissent l’événement, sa criticité, le type d’information, la catégorie, etc.

Le logiciel de surveillance est alimenté en logs

Pandora et tout autre logiciel de surveillance utilisent et génèrent des journaux pour vous fournir des informations vitales sur vos systèmes en temps réel.

Comment ?

Vous pouvez le constater par vous-même en utilisant la version Open Source de Pandora :

Exemples de journaux

Voici à quoi ressemble un événement Windows, qui serait le “journal” de Windows :

logs

Alors que dans Windows, le journal du système et des applications est presque toujours unifié dans l’observateur d’événements du système, dans les systèmes Unix (et j’inclus Linux dans cette catégorie), c’est beaucoup plus chaotique, et nous constaterons qu’il n’y a pas un seul journal, mais plusieurs et avec des formats différents..

Voici un exemple de journal Linux (messages) :

Nov 17 04:19:52 cylon3 systemd: Stopping The Apache HTTP Server...
Nov 17 04:19:53 cylon3 systemd: Stopped The Apache HTTP Server.
Nov 17 04:19:54 cylon3 systemd: Starting The Apache HTTP Server...
Nov 17 04:19:54 cylon3 httpd: AH00558: httpd: Could not reliably determine the server's fully qualified domain name, using fe80::4637:e6ff:fedd:fa27. Set the 'ServerName' directive globally to suppress this message
Nov 17 04:19:54 cylon3 systemd: Started The Apache HTTP Server.
Nov 17 04:20:41 cylon3 yum[26424]: Installed: php-imap-7.3.24-1.el7.remi.x86_64
Nov 17 04:20:42 cylon3 yum[26424]: Installed: php-ldap-7.3.24-1.el7.remi.x86_64
Nov 17 04:20:44 cylon3 yum[26424]: Installed: php-mbstring-7.3.24-1.el7.remi.x86_64
Nov 17 04:20:52 cylon3 systemd: Stopping The Apache HTTP Server...
Nov 17 04:20:53 cylon3 systemd: Stopped The Apache HTTP Server.
Nov 17 04:20:53 cylon3 systemd: Starting The Apache HTTP Server...
Nov 17 04:20:53 cylon3 httpd: AH00558: httpd: Could not reliably determine the server's fully qualified domain name, using fe80::4637:e6ff:fedd:fa27. Set the 'ServerName' directive globally to suppress this message
Nov 17 04:20:53 cylon3 systemd: Started The Apache HTTP Server.
Nov 17 05:01:01 cylon3 systemd: Started Session 71 of user root.
Nov 17 06:01:01 cylon3 systemd: Started Session 72 of user root.
Nov 17 07:01:01 cylon3 systemd: Started Session 73 of user root.
Nov 17 07:20:32 cylon3 systemd: Starting Cleanup of Temporary Directories...

Sur les systèmes Linux, les journaux sont stockés dans des fichiers situés dans le répertoire /var/log, bien que de nombreux programmes gèrent leurs propres journaux et les stockent dans /var/log/.

L’avantage de Linux est que la plupart des journaux sont des fichiers de texte brut, accessibles et visualisables à partir de n’importe quel outil de manipulation de texte, contrairement aux événements Windows qui ne sont accessibles qu’à travers le visualiseur d’événements et/ou l’API de bas niveau.

Certains des journaux les plus importants sous Linux, qui devraient se trouver sur tous les systèmes, sont les suivants :

  • /var/log/messages – C’est là que vous trouverez les journaux génériques du système. De nombreuses applications déversent leurs journaux ici par l’intermédiaire du programme syslog, qui collecte les événements de journaux d’autres applications et les place dans ce fichier.
  • /var/log/secure – Ce fichier journal enregistre les connexions au système, le nombre de fois où nous nous connectons, etc. Les tentatives infructueuses sont consignées sur des lignes contenant des informations telles que mot de passe invalide ou échec de l’authentification.
  • /var/log/dmesg – Ce fichier stocke les informations générées par le noyau lors du démarrage du système et d’autres événements qu’il peut générer au cours de l’exécution. Il s’agit généralement de messages de bas niveau qui ne sont pas capturés par le sous-système syslog.

Certains journaux d’application typiques qui peuvent être trouvés de manière facultative sont les suivants :

  • /var/log/maillog – Journal d’envoi de courrier, généralement lié au sous-système local d’envoi de courrier (SMTP, Postfix, sendmail).
  • /var/log/pandora/pandora/pandora_agent.log – Journal de l’agent de surveillance du SGF Pandora, qui nous informe de chaque exécution et de tout problème éventuel.
  • /var/log/httpd/access_log – Journal d’un serveur HTTP, comme Apache.

À quoi peuvent servir les journaux ?

Cela dépend de vos besoins, mais il est important de savoir que les journaux peuvent être essentiels du point de vue de la sécurité, ainsi que pour analyser l’utilisation du système, les performances ou la détection des bogues.

Les journaux sont parfois la “nourriture de choix” pour les techniques d’apprentissage automatique afin de détecter des modèles qui vous aident à prendre des décisions.

Les journaux sont essentiels pour la gestion et le contrôle de l’accès aux ressources ; ils sont liés à l’audit de sécurité et aux produits dérivés.

Les journaux peuvent être surveillés et des règles peuvent être établies pour vous alerter lorsque quelque chose se produit. C’est l’une des fonctions de systèmes tels que le SGF Pandora.

En résumé, les journaux peuvent nous aider à comprendre comment notre système est utilisé afin de prévenir les fuites d’informations, ainsi que les comportements inappropriés qui provoquent des erreurs.

Splunk, y otra de ellas es et une autre est Pandora FMS pour la collecte des journaux, qui permet le stockage, la collecte et la gestion des journaux.

Qu’est-ce que Amazon CloudWatch Logs ?

Amazon CloudWatch Logs permet de surveiller et de stocker les fichiers journaux des instances Amazon Elastic Compute Cloud (Amazon EC2), AWS CloudTrail, Route 53 et d’autres sources Amazon.

CloudWatch Logs vous permet de centraliser les journaux de tous les systèmes, applications et services AWS que vous utilisez dans un service unique et hautement évolutif. Vous pouvez y accéder et les consulter pour y rechercher des modèles spécifiques ou des codes d’erreur, les filtrer en fonction du contenu de champs spécifiques ou les archiver en toute sécurité en vue d’une analyse ultérieure.

CloudWatch Logs vous permet de visualiser tous vos journaux, quelle que soit leur source, sous la forme d’un flux unique et cohérent d’événements triés par date et heure, ainsi que de les interroger et de les trier en fonction d’autres dimensions, de les regrouper par champs spécifiques, etc. Il vous permet également d’exporter ces données afin que d’autres systèmes (tels que Splunk ou Pandora FMS) puissent les gérer en externe.

Shares