Création de sites webManuels scolairesRéférencement et marketingTrucs et astuces webWeb et WordPress

Pourquoi la gestion des journaux est importante

Last updated Mar 5, 2024

Teneur Cacher

La surveillance des journaux fonctionne comme une sentinelle. Dans le passé, les forts militaires avaient des tours de guet sur leurs murs où des sentinelles ou des gardes étaient postés pour surveiller les environs. Il était de leur responsabilité d’alerter ceux qui se trouvaient à l’intérieur s’ils voyaient une activité suspecte afin que les habitants des ports puissent se préparer en cas d’attaque.

Avec la surveillance des journaux, c’est un peu similaire. Le système de journalisation gardera une trace des événements dans le système, des activités dans le réseau et des diverses actions entreprises par l’utilisateur.

Les informations produites par votre système de journalisation portent plusieurs noms : journaux d’événements, fichiers journaux, pistes d’audit et enregistrements d’audit. Le travail du système de surveillance des journaux consiste à surveiller les fichiers journaux et à s’assurer que tout fonctionne correctement.

Presque tous les logiciels génèrent des journaux. Des navigateurs Internet aux systèmes d’exploitation en passant par les pare-feu et les logiciels de point de vente (POS). Certains d’entre eux peuvent avoir la capacité de se connecter mais ne le feront pas par défaut, il est donc important de toujours s’assurer que les journaux sont activés dans le système avec lequel vous travaillez. De plus, bien que les systèmes disposent de leurs propres outils de journalisation intégrés, tous ne disposent pas non plus d’outils de gestion des journaux intégrés. C’est pourquoi il est important de connaître les capacités de votre système et même d’installer des solutions tierces pour la gestion des journaux si nécessaire.

Examen quotidien nécessaire

Il est important de consulter constamment vos journaux car ils vous montreront toute activité suspecte se produisant dans votre système. Vous devriez consulter vos journaux quotidiennement pour trouver toute activité suspecte qui se produit dans votre système.

Les journaux sont importants pour des raisons de sécurité car ils sont les premiers indicateurs que quelque chose ne va pas. Lorsque vous les examinez régulièrement, vous vous donnez la possibilité d’étouffer les attaques dans l’œuf.

Le problème avec les journaux, cependant, est que de nombreux fichiers journaux sont générés quotidiennement, même par le système le plus simple. Lorsque vous disposez d’un système de grande entreprise, le nombre de fichiers journaux peut être stupéfiant. Il ne serait pas pratique de les parcourir et de rechercher manuellement les événements anormaux. La meilleure façon de gérer le problème consiste à disposer d’un système de surveillance des journaux en temps réel qui vous alerte chaque fois que quelque chose d’inattendu est détecté.

Filtrez ce dont vous n’avez pas besoin

Bien sûr, les systèmes et les réseaux sont différents d’un bout à l’autre et donc tous les fichiers journaux générés par votre système ne vous seront pas utiles. Par conséquent, vous devez être en mesure de filtrer ce dont vous n’avez pas besoin afin de ne conserver que ce qui est important pour vous. Cela peut être un peu une forme d’art puisque vous devez constamment modifier les paramètres pour aller avec le type d’environnement que votre système traverse en ce moment.

La plupart des solutions de surveillance des journaux sont fournies avec des modèles d’alertes afin que vous ayez un point de départ. Ce n’est pas la solution ultime, mais au moins vous obtenez un point de départ à partir duquel vous pouvez effectuer une optimisation. Vous devez prendre votre temps pour optimiser ces fonctions d’alerte dès le début afin de ne pas traverser une période difficile par la suite. Il existe divers événements pour lesquels vous pouvez souhaiter recevoir des alertes, selon le type de système que vous utilisez :

Connexions non autorisées
Modifications des mots de passe
Nouvelles connexions
Échecs de connexion
La détection des malwares
Attaques de logiciels malveillants
Attaques par déni de service
Analyse les ports ouverts et fermés ainsi que vos pare-feux
Modifications des noms de fichiers
Erreurs associées aux périphériques réseau
Données exportées
Modifications de l’intégrité des fichiers
Événements d’accès partagé
L’arrêt des processus en cours d’exécution ou le démarrage de nouveaux processus
Audits sur dossiers
L’installation de nouveaux services
Événements déconnectés
Modification des valeurs de registre
Nouveaux comptes d’utilisateurs

Ce ne sont là que quelques-uns des nombreux éléments pour lesquels vous souhaitez peut-être recevoir une alerte. Tout dépend du type de système que vous utilisez.

Gérez les journaux plus efficacement

En attendant, vous pouvez prendre certaines mesures pour gérer vos journaux plus efficacement, quel que soit le type de système que vous utilisez :

Déterminez comment vous souhaitez générer vos journaux et quand
Stockez vos journaux dans un endroit sûr pour les protéger des pirates et également pour vous assurer que des personnes bien intentionnées ne les modifient pas par erreur.
Demandez à un employé de confiance d’examiner les journaux quotidiennement
Avoir une équipe pour surveiller les alertes suspectes de votre outil de surveillance des journaux
Avoir des protocoles en place pour régir la génération d’alertes ; faites-le correctement la première fois en fonction de votre situation particulière afin de ne pas avoir de problèmes plus tard
Avoir vos journaux stockés pendant au moins un an à partir du moment de la génération ; à tout moment, avoir les trois derniers mois de journaux immédiatement accessibles
Cherchez toujours des moyens de faciliter la collecte, le stockage et l’analyse des journaux

Source d’enregistrement: instantshift.com