We couldn't find a match for given <KEYWORD>, please try again.

Qu’est-ce que l’analyse des journaux ?

L’analyse des journaux est un processus qui offre une visibilité sur les performances et l’intégrité de l’infrastructure informatique et des piles d’applications, via l’examen et l’interprétation des journaux générés par le réseau, les systèmes d’exploitation, les applications, les serveurs et autres composants matériels et logiciels.

Les journaux contiennent généralement des données chronologiques qui sont soit transmises en temps réel à l’aide de collecteurs, soit stockées pour vérification ultérieure. L’analyse des journaux offre une visibilité sur les performances du système et peut signaler des problèmes potentiels tels que des violations de sécurité ou une défaillance matérielle imminente.

Présentation du service Cloud : VMware Aria Operations for Logs

Résoudre les problèmes de manière rapide et intelligente avec VMware Aria Operations for Logs

Quels sont les avantages de l’analyse des journaux ?

  • Conformité. De nombreux organismes gouvernementaux ou réglementaires exigent des entreprises qu’elles démontrent leur conformité avec la multitude de réglementations qui s’appliquent à presque toutes les entités. L’analyse des fichiers journaux peut démontrer que les exigences réglementaires HIPAA, PCI, RGPD ou autres sont bien respectées par l’entreprise.
  • Améliorations de la sécurité. À mesure que la cybercriminalité devient de plus en organisée, le besoin de contre-mesures plus fortes se fait également ressentir. L’analyse des journaux d’événements fournit des outils puissants pour prendre des mesures proactives et effectuer des examens approfondis après-coup en cas de violation ou de perte de données. L’analyse des journaux peut utiliser les données de surveillance du réseau pour détecter les tentatives d’accès non autorisé et garantir que les opérations de sécurité et les pare-feu sont configurés de manière optimale.
  • Efficacité. Une structure d’analyse des journaux permet d’améliorer l’efficacité dans toute l’entreprise. Les ressources informatiques de chaque département peuvent partager un seul référentiel de journaux, et l’analyse des données de journal d’une entreprise peut aider à repérer les erreurs ou les tendances dans chaque entité et département, pour une correction rapide.
  • Haute disponibilité. Une action rapide basée sur les informations révélées par l’analyse des journaux peut empêcher une interruption de service suite à un problème. Résultat : l’entreprise peut atteindre ses objectifs et le département informatique peut respecter ses engagements de fournir des services avec une garantie de disponibilité spécifiée.
  • Éviter le surprovisionnement ou le sous-provisionnement. Alors que les entreprises doivent planifier en tenant compte des pics de demande, l’analyse des journaux permet d’anticiper les insuffisances de CPU, mémoire, disque et bande passante réseau pour répondre aux demandes actuelles et aux tendances prévues. Le surprovisionnement gaspille inutilement le précieux budget du département informatique, tandis que le sous-provisionnement peut entraîner des interruptions de service, les entreprises tentant difficilement d’acheter des ressources supplémentaires ou d’utiliser des ressources Cloud pour répondre aux fluctuations de la demande.
  • Efficacité des équipes commerciales et marketing. En effectuant le suivi de mesures telles que le volume de trafic et les pages visitées par les clients, l’analyse des journaux permet aux commerciaux et aux équipes marketing d’identifier les programmes efficaces et ce qui doit être modifié. Des modèles de trafic peuvent également aider lors du remaniement du site Web d’une entreprise pour faciliter l’accès aux informations les plus fréquemment consultées.

Pourquoi l’analyse des journaux est-elle importante ?

Dans la mesure où les journaux offrent une visibilité sur les performances et l’intégrité des applications, l’analyse des journaux permet aux équipes responsables des opérations et du développement de comprendre et de résoudre les problèmes de performances qui surviennent au cours du fonctionnement opérationnel.

L’analyse des journaux remplit de nombreuses fonctions importantes, notamment :

  • Conformité avec les obligations de gouvernance et réglementaires, ainsi qu’avec les règles internes
  • Suivi des violations de sécurité et de l’exfiltration de données afin de déterminer les parties responsables et agir pour corriger les violations
  • Aide au diagnostic et à la résolution des problèmes de la pile complète
  • Suivi des anomalies de comportement des utilisateurs pour détecter les intentions malveillantes ou les systèmes compromis
  • Assistance dans le cadre d’enquêtes approfondies sur les attaques par des logiciels malveillants, l’exfiltration ou le vol par les collaborateurs

Certains organismes de réglementation imposent aux entreprises d’effectuer une analyse des fichiers journaux pour valider leur conformité à leurs réglementations, et chaque entreprise qui souhaite améliorer sa stratégie de cybersécurité aura besoin de compétences en analyse des journaux pour détecter et éliminer les cybermenaces de toutes sortes. Les exigences de respect de la réglementation auxquelles l’analyse des journaux permet de répondre incluent : ISO/IEC 27002:2013, concernant le code de pratique pour la sécurité informatique ; PCI DSS V3.1 qui couvre la confidentialité des informations de carte de crédit et autres informations financières ; et NIST 800-137 concernant la surveillance continue pour les départements informatiques du secteur public.

Comment effectuer une analyse des journaux ?

Les journaux sont des enregistrements chronologiques des actions et activités générées par les applications, les réseaux, les terminaux (y compris les terminaux programmables et IoT) et les systèmes d’exploitation. Ils sont généralement stockés dans un fichier, une base de données ou une application dédiée appelée collecteur de journaux pour une analyse des journaux en temps réel.

L’analyste des journaux a pour mission, entre autres, d’interpréter l’ensemble des données et messages collectés en contexte, ce qui nécessite de normaliser les données de journal pour garantir l’utilisation d’une terminologie commune. Toute confusion est ainsi évitée si l’une des fonctions indique « normal » et l’autre « vert », les deux signifiant qu’aucune action n’est requise.

Généralement, les données de journal sont collectées pour le programme d’analyse des journaux, nettoyées, structurées ou normalisées, puis transmises pour analyse aux experts afin de détecter des modèles ou d’identifier des anomalies telles qu’une cyberattaque ou une exfiltration de données. L’analyse des fichiers journaux se déroule généralement comme suit :

  1. Collecte des données : les données des sondes matérielles et logicielles sont collectées dans une base de données centrale.
  2. Indexation des données : les données de toutes les sources sont centralisées et indexées pour accélérer les recherches, permettant aux professionnels de l’informatique d’identifier rapidement les problèmes ou les modèles.
  3. Analyse : des outils d’analyse des journaux, notamment la normalisation, la reconnaissance de modèles, la corrélation et le balisage, peuvent être utilisés automatiquement grâce à l’apprentissage automatique, ou manuellement si nécessaire.
  4. Surveillance : une plate-forme d’analyse des journaux en temps réel et autonome peut générer des alertes en cas de détection d’anomalies. Ce type d’analyse automatisée des journaux est la base de la surveillance continue de la pile informatique complète.
  5. Rapports : les rapports et les tableaux de bord traditionnels sont intégrés à une plate-forme d’analyse des journaux, offrant une vue rapide ou historique des mesures aux équipes responsables des opérations, du développement et de la gestion.

Quelles sont les meilleures pratiques en matière d’analyse des journaux ?

Voici quelques composants d’un système d’analyse des journaux efficace.

Normalisation : la conversion de données de journal différentes dans un format uniforme permet de s’assurer que les comparaisons sont possibles et que les données peuvent être stockées et indexées de manière centralisée, quelle que soit la source du journal.

Reconnaissance de modèles : les outils d’apprentissage automatique (ML) modernes peuvent être appliqués pour identifier des modèles dans les données de journal susceptibles d’indiquer des anomalies, par exemple en comparant les messages masqués dans une liste externe pour déterminer si une menace se cache dans le modèle. Les entrées de journal de routine sont ainsi filtrées afin de concentrer l’analyse sur celles susceptibles d’indiquer des anomalies de quelque nature que ce soit.

Balisage et classification : le balisage avec des mots-clés et le classement par type permettent d’appliquer des filtres en vue d’accélérer l’identification des données utiles. Par exemple, toutes les entrées de la catégorie « LINUX » peuvent être ignorées lors de la détection d’un virus qui cible les serveurs Windows.

Corrélation : les analystes peuvent combiner les journaux de plusieurs sources pour décoder un événement difficile à identifier avec les données d’un seul journal. Ce composant peut s’avérer particulièrement utile pendant et après les cyberattaques, la corrélation entre les journaux des terminaux réseau, des serveurs, des pare-feu et des systèmes de stockage permettant de révéler des données sur l’attaque et d’identifier des modèles indétectables avec un seul journal.

Intelligence artificielle : les outils d’intelligence artificielle et d’apprentissage automatique (IA/ML) intégrés aux systèmes modernes d’analyse des journaux peuvent automatiquement reconnaître et supprimer, ou ignorer les entrées de journal qui ne permettent pas de détecter les anomalies ou les violations de sécurité. Parfois appelée « ignorance artificielle », cette fonction permet à l’analyse des journaux d’envoyer des alertes concernant des événements de routine planifiés qui ne se sont pas produits au moment prévu.

Structuration : pour fournir une valeur optimale, toutes les données de journal doivent être regroupées dans un référentiel central et structurées de manière à être compréhensibles à la fois par l’homme et par la machine. Grâce aux outils avancés d’analyse des journaux, le gros du travail peut être effectué automatiquement. Ainsi, les entreprises doivent mettre en place la journalisation de la pile complète sur tous les composants du système pour obtenir une visibilité optimale sur les activités et les anomalies.

Solutions et produits connexes

VMware Aria Operations for Logs

Analyse et gestion des journaux