Les fichiers log, des indicateurs utiles

Les journaux d'évènements sont des fichiers textes enregistrant de manière chronologique les évènements exécutés par un serveur ou une application informatique. Un contenu qu'il faut savoir déchiffrer.

Chaque action d'un système informatique (ouverture d'une session, installation d'un programme, navigation sur Internet...) produit un fichier log. Ces fichiers textes listent chronologiquement les évènements exécutés. Ils s'avèrent utiles pour comprendre la provenance d'une erreur en cas de bug.

Ils permettent également d'établir des statistiques de connexions à un site Web ou à un serveur, grâce à des outils comme WebAlizer ou Webtrends. L'analyse des fichiers logs peut se faire manuellement, mais les logs ne sont pas aisés à déchiffrer, et les outils d'analyse fournissent la plupart des informations nécessaires.

S'agissant d'un serveur Web, un fichier log va enregistrer la date et l'heure de la tentative d'accès, l'adresse IP du client, le fichier cible, le système d'exploitation utilisé, le navigateur, la réponse du serveur à cette requête, éventuellement le type d'erreur rencontré...

La journalisation applicative consiste à enregistrer les opérations de la logique métier pendant le fonctionnement d'une application. Un journal applicatif fait partie de la logique applicative.

La journalisation du système enregistre les évènements survenants au niveau des composants du système. Il est possible de filtrer les évènements par catégories de gravité, en paramétrant la journalisation (erreurs, débogage, alertes...). Les systèmes Unix utilisent le protocole Syslog pour mettre en œuvre la journalisation système. Les logs de Windows se trouvent dans le dossier System32.

Prenons l'exemple du fonctionnement d'un fichier log de Norton Antivirus : le logiciel se charge, démarre ses services, n'arrive pas à télécharger les fichiers de définitions virales à partir du serveur LiveUpdate, et arrête ses services (voir ci-dessous).


 

260604091336,23,2,8,nom_ordinateur,SYSTEM,,,,,,,16777216,"Protection en temps réel Norton AntiVirus chargée.",0,,0,,,,,0,,,,,,,,,,,

260604091338,14,2,8,nom_ordinateur,SYSTEM,,,,,,,16777216,"Démarrage des services Norton AntiVirus réussi",0,,0,,,,,0,,,,,,,,,,,

2606040A0004,16,3,7,nom_ordinateur,nom_utilisateur,,,,,,,16777216,"Echec du téléchargement du fichier de définitions virales à partir de Serveur LiveUpdate. 00000001",0,,0,,,,,0,,,,,,,,,,,

260604113A1F,13,2,8,nom_ordinateur,SYSTEM,,,,,,,16777216,"Arrêt des services Norton AntiVirus réussi",0,,0,,,,,0,,,,,,,,,,,

En 2001, les serveurs IIS étaient victimes du ver Code Red qui exploitait une faille de l'environnement. Les logs du serveur présentaient alors des requêtes de ce type :

 

 

192.168.2.12 - - [19/Jul/2001:16:55:47 +0100] "GET /default.ida?NNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3% u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 400 252 -

 

Les fichiers logs peuvent contenir des informations confidentielles (adresses IP, configuration du système, liste de processus...). Suivant l'environnement de travail, leur accès devrait être sécurisé. Pour cela, il faut limiter les droits d'accès à ces fichiers.

En août 2006, une équipe d'AOL fit scandale en publiant sur Internet un log contenant des millions de requêtes de ses utilisateurs américains sur les mois de mars, avril et mai de la même année. Le fichier avait été rendu anonyme avant sa publication en remplaçant les numéros d'abonnés par des numéros d'identification.

Mais la liste des recherches, associée à chaque identifiant, a servi de jeu de piste pendant tout l'été afin de retrouver les traces d'internautes. De nombreux utilisateurs ont été identifiés et une partie de leur vie intime dévoilée en étudiant l'historique de leurs actions.

 

Serveurs