Lorsqu’un système d’exploitation tel que Linux est en cours d’exécution, de nombreux événements et processus s’exécutent en arrière-plan pour permettre une utilisation efficace et fiable des ressources système. Ces événements peuvent se produire dans le logiciel système, par exemple le initialiser ou alors systemd processus ou applications utilisateur telles que apache, MySQL, FTP, et beaucoup plus.

Afin de comprendre l’état du système et des différentes applications et leur fonctionnement, les administrateurs système doivent continuer à consulter quotidiennement les fichiers journaux dans les environnements de production.

Vous pouvez imaginer devoir examiner les fichiers journaux de plusieurs zones système et applications, c’est là que les systèmes de journalisation sont utiles. Ils aident à surveiller, réviser, analyser et même générer des rapports à partir de différents fichiers journaux configurés par un administrateur système.

Dans cet article, nous examinerons les quatre principaux systèmes de gestion de journalisation open source les plus utilisés sous Linux aujourd’hui, le protocole de journalisation standard dans la plupart sinon toutes les distributions aujourd’hui est Journal système.

Table des matières hide
1 Analyseur de journaux d’événements
2 1. Graylog 2
3 2. Vérification du journal
4 3. Logwatch
5 4. Logstash
6 Résumé
7 Si vous appréciez ce que nous faisons ici sur TecMint, vous devriez considérer :

Analyseur de journaux d’événements

Publicité

Analyseur de journaux d’événements ManageEngine est une solution de gestion des journaux sur site conçue pour les entreprises de toutes tailles dans divers secteurs tels que les technologies de l’information, la santé, la vente au détail, la finance, l’éducation, etc. La solution offre aux utilisateurs une collecte de journaux avec et sans agent, des capacités d’analyse des journaux, un puissant moteur de recherche de journaux et des options d’archivage des journaux.

Grâce à la fonctionnalité d’audit des périphériques réseau, il permet aux utilisateurs de surveiller leurs périphériques d’utilisateur final, pare-feu, routeurs, commutateurs, etc. en temps réel. La solution affiche les données analysées sous forme de graphiques et de rapports intuitifs.

Les mécanismes de détection d’incidents d’EventLog Analyzer, tels que la corrélation des journaux d’événements, les renseignements sur les menaces, la mise en œuvre du cadre MITRE ATT&CK, l’analyse avancée des menaces, etc., aident à détecter les menaces de sécurité dès qu’elles se produisent.

Le système d’alerte en temps réel avertit les utilisateurs des activités suspectes, afin qu’ils puissent hiérarchiser les menaces de sécurité à haut risque. Et avec un système automatisé de réponse aux incidents, les SOC peuvent atténuer les menaces potentielles.

La solution aide également les utilisateurs à se conformer à diverses normes de conformité informatique telles que PCI DSS, ISO 27001, GLBA, SOX, HIPAA, CCPA, GDPR, etc. Des services par abonnement sont proposés en fonction du nombre de sources de journal à surveiller. Le support est mis à la disposition des utilisateurs par téléphone, vidéos de produits et une base de connaissances en ligne.

Analyseur De Journaux D'Événements Manageengine
Analyseur De Journaux D&Rsquo;Événements Manageengine

1. Graylog 2

Graylog est un outil de gestion centralisée des journaux open source et robuste qui est largement utilisé pour collecter et examiner les journaux dans divers environnements, y compris les environnements de test et de production. Il est facile à mettre en place et est fortement recommandé pour les petites entreprises.

Graylog - Linux Leading Log Management
Graylog – Gestion Des Journaux Leader Sur Linux

Graylog vous aide à collecter facilement des données à partir de plusieurs appareils, notamment des commutateurs réseau, des routeurs et des points d’accès sans fil. Il s’intègre avec le Recherche élastique moteur d’analyse et leviers MongoDB pour stocker les données et les journaux collectés offrent des informations approfondies et sont utiles pour le dépannage des défauts et des erreurs du système.

Avec Graylog, vous obtenez une interface utilisateur Web soignée et endormie avec des tableaux de bord sympas qui vous aident à suivre les données de manière transparente. En outre, vous disposez d’un ensemble d’outils et de fonctionnalités astucieux qui facilitent l’audit de conformité, la recherche de menaces et bien plus encore. Vous pouvez activer les notifications de manière à ce qu’une alerte soit déclenchée lorsqu’une certaine condition est remplie ou qu’un problème survient.

Globalement, Graylog fait un assez bon travail pour rassembler de grandes quantités de données et simplifie la recherche et l’analyse des données. La dernière version est Graylog 4.0 et offre de nouvelles fonctionnalités telles que le mode sombre, l’intégration avec slack et Recherche élastique 7 et bien plus.

2. Vérification du journal

Vérification du journal est un autre outil de surveillance des journaux open source qui s’exécute en tant que tâche cron. Il passe au crible des milliers de fichiers journaux pour détecter les violations ou les événements système qui sont déclenchés. Logcheck envoie ensuite un résumé détaillé des alertes à une adresse e-mail configurée pour alerter les équipes d’exploitation d’un problème tel qu’une violation non autorisée ou une défaillance du système.

Logcheck Analyse Les Journaux Système
Logcheck Analyse Les Journaux Système

Trois niveaux différents de filtrage des fichiers journaux sont développés dans ce système de journalisation, notamment :

  • Paranoïaque: est destiné aux systèmes de haute sécurité qui exécutent très peu de services possible.
  • Serveur: il s’agit du niveau de filtrage par défaut pour logcheck et ses règles sont définies pour de nombreux démons système différents. Les règles définies sous le niveau paranoïaque sont également incluses sous ce niveau.
  • Poste de travail: il est destiné aux systèmes protégés et permet de filtrer la plupart des messages. Il comprend également des règles définies sous les niveaux paranoïaque et serveur.

Logcheck est également capable de trier les messages à signaler en trois couches possibles, à savoir les événements de sécurité, les événements système et les alertes d’attaque du système. Un administrateur système peut choisir le niveau de détails auquel les événements système sont signalés en fonction du niveau de filtrage, bien que cela n’affecte pas les événements de sécurité et les alertes d’attaque du système.

Logcheck fournit les fonctionnalités suivantes :

  • Modèles de rapport prédéfinis.
  • Un mécanisme de filtrage des journaux à l’aide d’expressions régulières.
  • Notifications instantanées par e-mail.
  • Alertes de sécurité instantanées.

3. Logwatch

Journal de bord est une application de collecte et d’analyse de journaux open source et hautement personnalisable. Il analyse les journaux du système et des applications et génère un rapport sur le fonctionnement des applications. Le rapport est livré soit en ligne de commande, soit via une adresse e-mail dédiée.

Analyseur De Journaux Logwatch Linux
Analyseur De Journaux Logwatch Linux

Vous pouvez facilement personnaliser Logwatch selon vos préférences en modifiant les paramètres dans le /etc/logwatch/conf chemin. Il fournit également quelque chose de plus sous la forme de scripts PERL pré-écrits pour faciliter l’analyse des journaux.

Journal de bord est livré avec une approche à plusieurs niveaux et il existe 3 emplacements principaux où les détails de configuration sont définis :

  • /usr/share/logwatch/default.conf/*
  • /etc/logwatch/conf/dist.conf/*
  • /etc/logwatch/conf/*

Tous les paramètres par défaut sont définis dans le /usr/share/logwatch/default.conf/logwatch.conf dossier. La pratique recommandée est de laisser ce fichier intact et de créer à la place votre propre fichier de configuration à la /etc/logwatch/conf/ path en copiant le fichier de configuration d’origine, puis en définissant vos paramètres personnalisés.

La dernière version de Journal de bord est la version 7.5.5 et prend en charge l’interrogation du systemd journal directement en utilisant journalctl. Si vous ne pouvez pas vous permettre un outil de gestion de journaux propriétaire, Journal de bord vous donnera la tranquillité d’esprit en sachant que tous les événements seront enregistrés et des notifications envoyées en cas de problème.

4. Logstash

Logstash est un pipeline de traitement de données côté serveur open source qui accepte les données d’une multitude de sources, y compris des fichiers locaux ou des systèmes distribués tels que S3. Il traite ensuite les journaux et les dirige vers des plates-formes telles que Recherche élastique où ils sont ensuite analysés et archivés. C’est un outil assez puissant car il peut ingérer des volumes de journaux de plusieurs applications et les sortir ensuite vers différentes bases de données ou moteurs en même temps.

Logstash : Collecter, Analyser Et Transformer Les Journaux
Logstash : Collecter, Analyser Et Transformer Les Journaux

Logstash structure les données non structurées et effectue des recherches de géolocalisation, anonymise les données personnelles et s’adapte également à plusieurs nœuds. Il existe une longue liste de sources de données sur lesquelles Logstash peut écouter le canal, notamment SNMP, les pulsations, Syslog, Kafka, la marionnette, le journal des événements Windows, etc.

Logstash s’appuie sur ‘Beats‘ qui sont des expéditeurs de données légers qui transmettent des données à Logstash pour l’analyse et la structuration, etc. Les données sont ensuite envoyées vers d’autres destinations telles que Google Cloud, MongoDB et Elasticsearch pour l’indexation. Logstash est un composant clé d’Elastic Stack qui permet aux utilisateurs de rassembler des données sous n’importe quelle forme, de les analyser et de les visualiser sur des tableaux de bord interactifs.

Qui plus est, est-ce Logstash bénéficie d’un large soutien communautaire et de mises à jour régulières.

Résumé

C’est tout pour l’instant et rappelez-vous que ce ne sont pas tous les systèmes de gestion de journaux disponibles que vous pouvez utiliser sous Linux. Nous continuerons à réviser et à mettre à jour la liste dans les prochains articles, j’espère que vous trouverez cet article utile et que vous pourrez nous faire part d’autres outils ou systèmes de journalisation importants en laissant un commentaire.

Si vous appréciez ce que nous faisons ici sur TecMint, vous devriez considérer :

TecMint est le site communautaire à la croissance la plus rapide et le plus fiable pour tout type d’articles, de guides et de livres Linux sur le Web. Des millions de personnes visitent TecMint ! pour rechercher ou parcourir les milliers d’articles publiés accessibles GRATUITEMENT à tous.

Si vous aimez ce que vous lisez, pensez à nous acheter un café (ou 2) en signe d’appréciation.

Soutenez-Nous

Nous sommes reconnaissants pour votre soutien sans fin.

Rate this post
Publicité
Article précédentLa dernière collaboration de Loewe avec le Studio Ghibli est un chef-d’œuvre d’anime
Article suivantHigh Roller ! La valeur nette de l’actrice Katherine Heigl de « Firefly Lane » est sérieusement folle
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici