Cybersécurité

Analyse efficace des fichiers logs divers

L'Équipe Alphorm Par L'Équipe Alphorm
18e lecture en min

L’analyse des fichiers logs est essentielle pour la sécurité et la performance des systèmes, mais elle peut être complexe.

Une mauvaise gestion des logs peut entraîner des failles de sécurité et des inefficacités opérationnelles majeures.

Cet article vous guide à travers l’analyse des logs, en couvrant les étapes d’importation et d’indexation pour maximiser la sécurité et la performance.

Table de matière
Analyse des fichiers logs essentielsIndexation efficace des logs serveur webFAQConclusion

Formation Splunk : Maitriser les fondamentaux

Maîtrisez les fonctionnalités de base dans l'analyse de logs avec Splunk

Découvrir cette formation

Analyse des fichiers logs essentiels

Nous disposons de trois fichiers logs qui reflètent différents systèmes

Fenêtre montrant des fichiers de logs
  • Access Today Log :Ce fichier contient des logs relatifs à un serveur web. Il enregistre les requêtes HTTP échangées entre les utilisateurs et le serveur sur une période de 30 jours.
  • DB Audit CSV :Ce fichier représente les logs d’audit d’une base de données. Il inclut des informations sur les accès, modifications et écritures effectuées au sein de la base.
  • Linux Secure Log :Ce fichier contient des logs de sécurité d’un serveur Linux, particulièrement ceux liés aux connexions via le protocole SSH.

Indexation efficace des logs serveur web

Accéder à l'outil d'indexation

Commencez par vous connecter à votre plateforme d’analyse, avec vos identifiants. Accédez à l’option Ajouter des données , puis sélectionnez Envoyer pour importer les fichiers. Notez que la taille maximale de chaque fichier est de 500 Mo, configurable selon les besoins.

Importer le fichier "Access Today Log"

  1. Téléchargez le fichier log relatif au serveur web.
  2. Définissez son type (source type) comme « access combine cookies » pour assurer une indexation appropriée.
  3. Examinez les métadonnées et les champs extraits automatiquement, notamment les requêtes HTTP, pour analyser les événements.
Fenêtre d'ouverture de fichiers logs pour Splunk

En fait, vous avez les différentes catégories de log que vous pouvez récupérer s’il n’arrive pas à les identifier de manière native. Il y a une panoplie de types de log, Comme vous pouvez le voir, ça peut être des mesures, des log mailles, des log génériques, des bases de données, des log applicatifs ou encore réseau et sécurité des log structurés par exemple en JSON qu’on peut exploiter et ainsi de suite.

Interface Splunk pour l'analyse des logs

Une fois effectuée, en clique sur Suivant. Donc là, à partir de là, on peut choisir une valeur de lot relativement auquel on a récupéré, lire les logs. Donc à ce moment-là, ça peut être une expression régulière aussi, ou encore un segment. Donc non, dans notre cas, on va le nommer par exemple serveur web, qui est notre machine hôte en fait, à partir de laquelle on a récupéré ces logs-là.

Interface Splunk pour ajout de données

Donc là voilà, serveur web et en bas, vous pouvez aussi choisir l’index, les index comme on a spécifié. C’est eux qui vont se charger de stocker les différentes données sous format d’événement et qui vont avoir ce qu’on appelle un index qui va pouvoir pointer sur une donnée.

Interface de configuration de l'index Splunk

par défaut, on a un index qui s’appelle default. Donc ça c’est l’index par défaut qui va être créé. On a aussi trois index qui sont donc natifs, que vous retrouvez dans tous les cinq. C’est history pour l’historique.

L’index main, c’est là où vous allez retrouver en fait votre index par défaut, le même index que par défaut qui va être utilisé et vous avez aussi le summary ou l’index summary. C’est l’index en fait où vous allez pouvoir retrouver les résultats des différents rapports programmés. Donc on va laisser pour l’instant par défaut, mais je peux aussi cliquer sur Créer un nouvel index et choisir d’en créer.

Dans notre cas, nous n’allons pas utiliser cette fonctionnalité-là.

Je clique ensuite sur Résumé, donc tout simplement qui va reprendre tout le paramètre ou tout le paramétrage qu’on a mis en place. Voilà, terminé. Et donc là, il est en train de charger notre fichier.

Écran de résumé pour l'analyse des logs

En cliquant sur Lancer la recherche, nous pouvons tomber sur l’élément suivant. Je vais cliquer sur Ignorer. Et en fait, on a réussi évidemment à charger nos logs. Vous remarquerez ici que de facto, il nous a choisis au niveau où après notre recherche, la source spécifique à notre fichier qu’on vient de plaider

Interface de confirmation d'envoi de fichiers logs

vous pouvez choisir la plage de temps souhaitée. Donc là vous pouvez voir tout ça en temps réel. Ça, c’est très intéressant lorsque vous faites de l’analyse en temps réel, sinon de manière relative, et vous pouvez même avoir tout simplement des périodes bien spécifiques que vous pouvez spécifier une période définie par une date.

Donc ici, vous pouvez choisir la plage de temps souhaitée. Donc là vous pouvez voir tout ça en temps réel. Ça, c’est très intéressant lorsque vous faites de l’analyse en temps réel, sinon de manière relative, et vous pouvez même avoir tout simplement des périodes bien spécifiques que vous pouvez spécifier une période définie par une date, le temps réel par exemple, selon des secondes, des minutes ou encore des heures, donc, ou encore même de manière encore plus précise.

Capture d'écran Splunk analysant des logs

Indexer le fichier "DB Audit CSV"

  1. Chargez le fichier CSV contenant les logs d’audit.
  2. Vérifiez que les champs essentiels, tels que les timestamps, les types de requêtes et leur durée d’exécution, sont correctement identifiés.
  3. Capture d'écran de Splunk montrant l'aperçu des données avec des colonnes détaillant les commandes SQL, horodatages et durées.
    Créez un modèle (source type) pour faciliter la reconnaissance automatique des futures structures similaires.
Interface Splunk paramétrage sourcetype

Ce que je vais faire, c’est cliquer sur Enregistrer sous et lui donner un nom. Donc DB audit. Donc là on a créé un nouveau step qui s’appelle The Body, qui va être en fait tout simplement log db ou base de données BDD. Donc postgres, voilà, outil en fait, c’est on va spécifier que c’est des logs de base de données.

Fenêtre de configuration source type pour logs d'audit

Ce que je vais faire, c’est cliquer sur Enregistrer sous et lui donner un nom. Donc DB audit. Donc là on a créé un nouveau step qui s’appelle The Body, qui va être en fait tout simplement log db ou base de données BDD. Donc postgres, voilà, outil en fait, c’est on va spécifier que c’est des logs de base de données.

cette base de données et ici c’est des données, donc système parfait. Et en fait ici c’est tout simplement l’approche qui nous permet de créer donc un sous type selon une extraction qui a été faite pour que pour les prochaines fois, ils puissent reconnaître automatiquement ces types de structures en tant que DB audit. Donc c’est à dire que là on a un fichier CSV, on a une structure bien spécifique, et là, grâce à ces structures, on va créer un moule, en fait, qui à chaque fois, qui va pouvoir repérer les mêmes champs dans un autre fichier CSV ou autre, il va pouvoir automatiquement l’assigner à cette catégorie de type de source, c’est à dire de source type.

Interface d'analyse de logs BDD audit

Importer le fichier "Linux Secure Log"

  1. Ajoutez le fichier contenant les logs de sécurité Linux.
  2. Si le type de log n’est pas détecté automatiquement, sélectionnez manuellement « Système d’exploitation > Logs Linux Secure ».
  3. Analysez les données SSH extraites pour détecter les connexions suspectes ou autres événements notables.
Capture d'écran de Splunk pour logs

Je reviens sur ce bloc entreprise. Ensuite je vais cliquer sur Ajouter des données envoyer. Maintenant, je vais passer à mon troisième fichier, donc mes logs ou Linux suivant. Et là, à partir de là, je remarque qu’il n’a pas récupéré grand-chose.

En fait, on a des événements, on sait que c’est des logs système Linux, plus précisément ce qu’on retrouve dans le var log secure. Donc c’est des logs ssh, mais ici je n’arrive pas à récupérer ce que c’est effectivement. Et ça c’est un petit peu embêtant et je me demande comment je peux faire.

Capture d'écran paramètres Splunk logs

ça c’est les logs relatifs à la sécurité d’une machine Linux. Plus précisément, dans notre cas, tout ce qui va toucher a laissé SH. En fait, je peux cliquer dessus et il va automatiquement reconnaître la structure. À ce moment-là, je vais cliquer sur Suivant.

Donc là, je vais nommer serveur Linux. Suivant Soumettre. Et là, on lance la recherche. Comme vous pouvez le voir, on aura récupéré les différentes informations avec les champs à gauche, comme vous pouvez le voir avec les différentes valeurs qui nous intéressent. Et ça sera donc la troisième importation à partir d’un fichier.

Interface Splunk pour analyser des logs Linux

Formez-vous gratuitement avec Alphorm !

Maîtrisez les compétences clés en IT grâce à nos formations gratuites et accélérez votre carrière dès aujourd'hui.

Démarrer gratuitement
illustration processus de paiement en ligne avec étapes claires et convivialité

FAQ

Quels types de fichiers logs peuvent être analysés?
Les fichiers logs analysés incluent des logs de serveur web, des logs d’audit de base de données et des logs de sécurité Linux. Le fichier ‘Access Today Log’ enregistre les requêtes HTTP, ‘DB Audit CSV’ contient les détails d’accès et modifications de base de données, et ‘Linux Secure Log’ suit les connexions SSH et les événements de sécurité. Ces logs fournissent des informations cruciales pour la sécurité et l’optimisation des systèmes.
Pour importer le fichier ‘Access Today Log’, commencez par accéder à votre plateforme d’analyse. Sélectionnez ‘Ajouter des données’, puis ‘Envoyer’ pour télécharger le fichier. Assurez-vous de définir le type de source comme ‘access combine cookies’ pour une indexation précise. Examinez les métadonnées et les requêtes HTTP extraites pour une analyse approfondie des événements liés au serveur web.
Lors de l’importation des logs d’audit de base de données dans un fichier CSV, vérifiez que les champs essentiels comme les timestamps et les types de requêtes sont bien identifiés. Créez un modèle de source pour faciliter la reconnaissance des futures structures similaires. Cette étape est cruciale pour assurer une indexation cohérente et précise des données de base de données.
Pour analyser les logs de sécurité Linux, ajoutez le fichier contenant les logs, puis sélectionnez manuellement ‘Système d’exploitation > Logs Linux Secure’ si nécessaire. Analysez les données extraites, notamment les connexions SSH, pour détecter les événements suspects. Cela permet de renforcer la sécurité des systèmes en surveillant les activités potentiellement malveillantes.
L’analyse en temps réel des logs permet de surveiller instantanément les activités des systèmes, ce qui est crucial pour détecter rapidement les anomalies ou les menaces de sécurité. En définissant des plages de temps précises, les administrateurs peuvent réagir immédiatement aux incidents, améliorant ainsi la réactivité et la sécurité globale des infrastructures informatiques.

Conclusion

En maîtrisant l’analyse des fichiers logs, vous renforcez la sécurité et l’efficacité de vos systèmes. Quelles stratégies utilisez-vous pour optimiser vos analyses de logs?

ÉTIQUETÉ : Splunk
Facebook
Twitter
LinkedIn
Email
WhatsApp
Par L'Équipe Alphorm
Démocratiser la Connaissance Informatique pour Tous !
Suivre :
L'Équipe Alphorm, c'est la démocratisation de la connaissance informatique. Passionnés et dévoués, nous sommes là pour vous guider vers le succès en rendant la technologie accessible à tous. Rejoignez notre aventure d'apprentissage et de partage. Avec nous, le savoir IT devient une ressource inspirante et ouverte à tous dans un monde numérique en constante évolution.

Derniers Articles

Laisser un commentaire