| dbo:abstract
|
- En informatique, l'analyse des journaux (ou analyse des journaux des systèmes et des réseaux) est l'exploitation des enregistrements générés par un ordinateur pour différents types de tâches. Les principales motivations de l'analyse des journaux sont :
* le respect des politiques de sécurité ;
* le respect de l'audit ou de la réglementation ;
* le dépannage du système ;
* la recherche d'indices ou de preuves (pendant une enquête ou en réponse à une citation à comparaître) ;
* la réponse aux incidents de sécurité ;
* la compréhension du comportement des utilisateurs. Les messages contenus dans les journaux sont émis par des équipements de réseau, des systèmes d'exploitation, des applications et toutes sortes d'équipements intelligents ou programmables. Un journal est un flux de messages en séquence temporelle. Les journaux peuvent être dirigés vers des fichiers et stockés sur disque, ou dirigés sous forme de flux réseau vers un collecteur de journaux. Les messages de journal doivent généralement être interprétés en fonction de l'état interne de leur source (par exemple, une application) et peuvent annoncer des événements pertinents pour la sécurité ou les opérations (par exemple, une connexion d'utilisateur ou une erreur système). Les journaux sont souvent créés par les développeurs de logiciels pour aider au débogage d'une application ou pour comprendre comment les utilisateurs interagissent avec l'application. La syntaxe et la sémantique des données contenues dans les journaux sont généralement spécifiques à l'application ou au fournisseur. La terminologie peut également varier ; par exemple, l'authentification d'un utilisateur à une application peut être décrite comme un logon, un login, une connexion, une ouverture de session, une connexion d'utilisateur ou un événement d'authentification. Par conséquent, l'analyste des journaux doit interpréter les messages dans le contexte d'une application, d'un fournisseur, d'un système ou d'une configuration afin de faire des comparaisons utiles avec les messages semblables provenant d'autres journaux. Le format ou le contenu des messages de journaux ne sont pas toujours entièrement documentés. Une des tâches de l'analyste de journal est de programmer le système pour qu'il émette une gamme complète de messages afin de disposer de toute l'information nécessaire pour performer des analyses complètes du comportement d'un système et de ses utilisateurs. Un analyste de journaux peut standardiser la terminologie de différents journaux en une terminologie normalisée afin que des rapports et des statistiques puissent être dérivés d'un environnement hétérogène. Par exemple, les messages des journaux de Windows, d'Unix, des pare-feu de réseau et des bases de données peuvent être regroupés dans un rapport normalisé pour faciliter leur analyse. Différents systèmes peuvent signaler différentes priorités de messages avec un vocabulaire différent, comme error, warning, err, warn et critical (ou leurs équivalents français). L'analyse des journaux couvre donc sur un large spectre d'activités allant de l'extraction de texte à la rétro-ingénierie des logiciels. (fr)
- En informatique, l'analyse des journaux (ou analyse des journaux des systèmes et des réseaux) est l'exploitation des enregistrements générés par un ordinateur pour différents types de tâches. Les principales motivations de l'analyse des journaux sont :
* le respect des politiques de sécurité ;
* le respect de l'audit ou de la réglementation ;
* le dépannage du système ;
* la recherche d'indices ou de preuves (pendant une enquête ou en réponse à une citation à comparaître) ;
* la réponse aux incidents de sécurité ;
* la compréhension du comportement des utilisateurs. Les messages contenus dans les journaux sont émis par des équipements de réseau, des systèmes d'exploitation, des applications et toutes sortes d'équipements intelligents ou programmables. Un journal est un flux de messages en séquence temporelle. Les journaux peuvent être dirigés vers des fichiers et stockés sur disque, ou dirigés sous forme de flux réseau vers un collecteur de journaux. Les messages de journal doivent généralement être interprétés en fonction de l'état interne de leur source (par exemple, une application) et peuvent annoncer des événements pertinents pour la sécurité ou les opérations (par exemple, une connexion d'utilisateur ou une erreur système). Les journaux sont souvent créés par les développeurs de logiciels pour aider au débogage d'une application ou pour comprendre comment les utilisateurs interagissent avec l'application. La syntaxe et la sémantique des données contenues dans les journaux sont généralement spécifiques à l'application ou au fournisseur. La terminologie peut également varier ; par exemple, l'authentification d'un utilisateur à une application peut être décrite comme un logon, un login, une connexion, une ouverture de session, une connexion d'utilisateur ou un événement d'authentification. Par conséquent, l'analyste des journaux doit interpréter les messages dans le contexte d'une application, d'un fournisseur, d'un système ou d'une configuration afin de faire des comparaisons utiles avec les messages semblables provenant d'autres journaux. Le format ou le contenu des messages de journaux ne sont pas toujours entièrement documentés. Une des tâches de l'analyste de journal est de programmer le système pour qu'il émette une gamme complète de messages afin de disposer de toute l'information nécessaire pour performer des analyses complètes du comportement d'un système et de ses utilisateurs. Un analyste de journaux peut standardiser la terminologie de différents journaux en une terminologie normalisée afin que des rapports et des statistiques puissent être dérivés d'un environnement hétérogène. Par exemple, les messages des journaux de Windows, d'Unix, des pare-feu de réseau et des bases de données peuvent être regroupés dans un rapport normalisé pour faciliter leur analyse. Différents systèmes peuvent signaler différentes priorités de messages avec un vocabulaire différent, comme error, warning, err, warn et critical (ou leurs équivalents français). L'analyse des journaux couvre donc sur un large spectre d'activités allant de l'extraction de texte à la rétro-ingénierie des logiciels. (fr)
|
