GESTION DES LOGS
Les différents objectifs ?
Les logs ou journaux, sont généralement produits par la grande majorité des équipements et logiciels utilisés au sein d'un système d'informations. Riches en informations, ils peuvent contenir des informations utiles pour le contrôle de l'activité, la sécurité, la performance, la disponibilité ou encore renseigner sur divers dysfonctionnements.
Dans la plupart des cas, la gestion des logs est abordée sous l'angle de la sécurité et ceux-ci sont exploités par des outils de gestion de l'information de sécurité et d'évènements (SIM ou SIEM). Les logs sont ainsi collectés, analysés, aggrégés, corrélés afin de permettra la détection et la génération d'alertes.
D'un point de vue plus général, les logs peuvent être facilement exploités par des outils de monitoring (ex: Nagios) pour la détection de dysfonctionnements et servent également à la génération de données statistiques d'activité (ex: serveurs Web, mail,...).
Enfin, il ne faut pas non plus négliger le cadre réglementaire et juridique de la conservation des informations dans un but de traçabilité.
Problématique au quotidien
D'un point de vue opérationnel au quotidien, l'exploitation de toutes ces informations est un domaine prometteur mais néanmoins complexe dont les bénéfices restent bien souvent abstraits pour la majorité des responsables d'exploitation.
La raison en est simple, pour tirer partie de la richesse de ces informations, avant de les analyser ou de les corréler, il est d'abord nécessaire de les gèrer comme toute donnée de l'entreprise.
Ceci implique bien souvent une réflexion globale sur la gestion du cycle de vie des journaux au sein de l'entreprise. Ainsi, le cycle typique pourrait être suivant :
- Activation et paramétrage des logs sur les différents équipements, services ou applications du S.I.,
- Collecte des logs par centralisation locale ou distribuée,
- Stockage des logs (forme et méthodes),
- Sauvegarde et archivage des logs,
- Mise en oeuvre des outils d'exploitation des logs (SIEM, plateforme de monitoring, MSSP, NOC,...),
