Que devons-nous faire avant de commencer la surveillance des journaux ?
De nos jours, les outils de surveillance les plus performants ont parmi leurs options la possibilité de surveiller les journaux. Nous pouvons également trouver sur le marché de nombreux outils d’analyse et de gestion des journaux.
Par ailleurs, l’analyse des journaux est fondamentale pour la sécurité. En fait, cette analyse a permis de développer des outils de gestion des événements et de la sécurité de l’information SIEM.
L’analyse des journaux est essentielle même pour la définition de règles sur les procédures de sécurité et les exigences d’audit générées par des organisations internationales telles que HIPPA (Health Portability Accountability).
Malgré tout cela, lors de réunions de travail où l’on discute des avantages de la surveillance des applications, des réseaux et des serveurs, il n’est pas rare que nous ayons l’impression que la surveillance des journaux soit considérée comme une vilaine demi-soeur.
Les raisons de cette évaluation injuste sont les limitations de base des fichiers journaux :
- Les fichiers journaux enregistrent des informations et des événements uniquement sur un système spécifique. Ils sont donc utiles pour déterminer la cause des problèmes sur ce système particulier. Toutefois, lorsque vous devez résoudre un problème pouvant impliquer plusieurs systèmes et périphériques, c’est une autre histoire.
- Il n’y a pas de normes concernant l’emplacement, l’utilisation, le format et la taille des fichiers journaux à respecter pour différents systèmes et périphériques, ce qui rend l’analyse plus compliquée et limite l’extraction de la majeure partie des avantages des fichiers journaux.
Dans cet article, nous allons essayer de passer en revue les principaux aspects à prendre en compte lorsque nous décidons de lancer un projet de surveillance des journaux. Commençons par clarifier ce qu’est un journal et comment il est utilisé.
Un fichier journal est un fichier texte ou un fichier XML utilisé pour enregistrer la documentation d’événements, de comportements et de conditions propres à un système particulier, produite automatiquement avec la date et l’heure.
En règle générale, chaque logiciel, application, système d’exploitation et périphérique réseau génère des fichiers journaux.
Comme nous l’avons dit précédemment, il n’y a pas de règles pour les troncs. Cependant, en général, nous pouvons dire qu’un fichier journal de tout système, application ou périphérique doit inclure :
- Horodatage : informations sur l’heure à laquelle l’événement s’est produit ; date, heure, minute et seconde.
- Catégorie : tout fichier journal comprend un type de classification d’événement indiquant son importance ou son impact sur le système.
- Description : Ici, nous pouvons trouver des informations sur l’événement ou la condition spécifique.
Voici des exemples pour les journaux et leur utilisation :
- Sur un serveur Web : un journal des accès peut être utile pour identifier le nombre de visiteurs, les domaines depuis lesquels ils visitent, le nombre de requêtes pour chaque page, les habitudes d’utilisation en fonction du jour de la semaine ou même de l’heure.
- Système d’exploitation : il utilise les fichiers syslog pour enregistrer les événements, les erreurs, les accès des utilisateurs, les avertissements, etc. En examinant vos données, un administrateur peut vérifier si tous les processus se chargent correctement ou la cause première d’un problème spécifique.
- Dans Microsoft Exchange : les journaux de transactions sont des fichiers utilisés pour transmettre des informations (messages électroniques, nouveaux utilisateurs, dossiers supprimés, etc.) à la base de données Exchange. C’est tout d’abord envoyé au journal des transactions, puis à la base de données lorsque le système le permet.
- Dans les routeurs réseau : les fichiers journaux enregistrent les processus qui échouent, les connexions et déconnexions des services WAN et des périphériques, l’état des connexions VPN, etc. Pare-feu : les fichiers journaux enregistrent les connexions réseau autorisées et supprimées.
Il est clair que les troncs sont de grands conteneurs d’informations variées pouvant être utiles à ceux qui ont l’intention de mener des activités telles que :
- Surveillance des applications, des réseaux et des serveurs
- Optimisation et erreurs de débogage
- Analyse médico-légale et analyse des causes premières.
- Évaluation de la vulnérabilité.
- Conformité aux réglementations légales ou journal des événements à des fins d’audit.
- Définir les plans de capacité ou les modifications architecturales.
Voyons quels sont les principaux aspects à prendre en compte lorsque nous décidons de lancer un projet de surveillance des journaux :
Définir un objectif pour l’analyse des fichiers journaux.
Étant donné que l’analyse des fichiers journaux peut contribuer à différentes activités, un point crucial est de définir le but et les objectifs que nous souhaitons atteindre avec ce projet.
Notre intérêt est peut-être d’améliorer nos capacités de résolution de problèmes et de réduire le temps nécessaire pour déterminer la cause première des problèmes pouvant survenir.
La sécurité peut être notre principal intérêt ou couvrir les exigences imposées par certains organismes de réglementation.
Lorsque nous démarrons un projet de surveillance des journaux, un objectif clair nous permet de dimensionner correctement le projet et de prendre les bonnes décisions lors de l’évaluation des outils.
Ensuite, vous devez définir les objectifs dans ces sujets spécifiques :
- Visibilité : Indiquez si vous souhaitez disposer d’un panneau de configuration vous permettant d’accéder aux informations du journal ou si vous souhaitez davantage générer des rapports personnalisés.
- Accessibilité : Quelle est l’importance de notre analyse croisée pour notre objectif ? Quelle est l’importance de la possibilité de poser différentes questions sur les données des journaux ?
- L’intégration : Avons-nous déjà un outil de surveillance ou un outil de gestion des journaux ? Comment voulons-nous intégrer ces outils dans notre projet ?
- Alertes : La gestion des alertes est-elle cruciale lors de la détection de certains événements ou modèles ?
- Perspectives d’évolutions : Comment pensons-nous que les exigences de surveillance des journaux augmenteront à court et à moyen terme ? Dans les appareils ou les systèmes ? Avec des objectifs différents ?
Liste des fichiers journaux
Il est important de définir une première liste de fichiers journaux à collecter et à analyser, y compris les informations suivantes concernant chaque journal :
- Type : Système d’exploitation, outils d’identification, réseau, applications, sécurité des terminaux, etc.
- Systèmes : Serveur Windows Server 2008 ou Linux, Active Directory, LDAP, serveur DHCP, routeur Cisco 1941, Cisco ASA, VPN, sécurité du point final MacAfee, serveur Apache, serveur JBoss, etc.
- Identification du journal : nom et emplacement.
- Taille : taille du journal en Mo.
- Description du journal : brève description des événements enregistrés dans ce fichier journal.
Type | OS |
Système | Windows Server 2008 R2 |
Nom et adresse IP address | MDRServer / 191.168.4.56 |
Journal | Setup / Systemroot\System32\Winevt\logs\setup.evtx |
Taille | 1028 MB |
Description | Il enregistre les événements lors de la configuration et les statistiques de performance |
Évaluer les outils
La recommandation est d’évaluer les caractéristiques des outils de surveillance en fonction de nos objectifs et de nos besoins.
À ce stade, nous devons considérer que nous pouvons trouver des outils avec différentes approches pour la surveillance des journaux :
- Un logiciel en tant que service (SaaS) ne nécessitant pas d’installation, mais un service à distance.
- Outils installés localement
- Outils basés sur des périphériques matériels
Nous pouvons vérifier l’approche de Pandora FMS pour la surveillance des journaux en suivant ce lien.
Avec les informations rassemblées ici, nous pouvons établir un plan de projet qui nous emmène dans le monde intéressant et important de la surveillance des journaux.
L’équipe éditoriale de Pandora FMS est composée d’un groupe de rédacteurs et de professionnels de l’informatique ayant un point commun : leur passion pour la surveillance des systèmes informatiques. L’équipe éditoriale de Pandora FMS est composée d’un groupe de rédacteurs et de professionnels de l’informatique ayant un point commun : leur passion pour la surveillance des systèmes informatiques.