Comment Ca Marche - Communauté informatique  
   
Accueil - Encyclopédie informatiqueTélécharger l'encyclopédieContribuer à cet article

Détection d'attaques - Surveillance des journaux d'événements

Surveillance des journaux d'événements Encyclopédie

L'analyse des journaux

Un des meilleurs moyens de détecter les intrusions consiste à surveiller les journaux d'événements (appelés aussi journaux d'activité ou en anglais logs).

En effet, d'une manière générale les serveurs stockent dans des fichiers une trace de leur activité et en particulier des erreurs rencontrées.

Or, lors d'une attaque informatique il est rare que le pirate parvienne à compromettre un système du premier coup. Il agit la plupart du temps par tâtonnement, en essayant différentes requêtes.

Ainsi la surveillance des journaux permet de détecter une activité suspecte. Il est en particulier important de surveiller les journaux d'activité des dispositifs de protection car tout aussi bien configuré qu'il soient, il se peut qu'ils soient un jour la cible d'une attaque.

Notion de bruit

Dans la réalité il n'est pas évident de distinguer les alertes réelles des attaques automatiques effectuées par les vers réseau, les virus et les outils tels que les analyseurs de vulnérabilités.

Ainsi, la plupart des attaques subies par un serveur sont des attaques ne pouvant en aucun cas compromettre le systèe (par exemple des attaques de serveurs web Microsoft IIS contre des serveurs sous Linux avec Apache).

Il en résulte néanmoins des alertes inutile, provoquant ce que l'on appelle du « bruit », empêchant de se focaliser sur les véritables alertes.

Article rédigé le 22 juillet 2005 par Jean-François PILLOU.

Trucs & astuces pertinents trouvés dans la base de connaissances

03/11 18h16 -- MARK -- (Journaux - Logs)
Journaux logs Plus d'astuces sur « Journaux logs »

Discussions pertinentes trouvées dans le forum

16/06 20h37 interprétation logs interprétation logs Virus/Sécurité 17/06 23h22->balltrap3414
15/03 16h04 analyse logs hijackthis Analyse des logs hijackthis Virus/Sécurité 15/03 21h38->philnoug14
17/11 07h45 ordinateur lent logs Ordinateur très lent + Logs Virus/Sécurité 27/11 19h04->Kristopher13
08/02 00h41 apt get update logs [apt-get update] où sont les logs? Linux/Unix 08/02 12h57->Alain V.6
04/10 17h28 mandriva trouvent logs installés Mandriva: où se trouvent les logs installés ? Linux/Unix 05/10 09h58->legrand983
29/06 15h38 analyse logs hijackthis Analyse logs hijackthis Virus/Sécurité 30/06 20h32->moe3121
16/08 19h38  [logs][softs] Suggestions 23/08 14h32->dje-dje17
18/08 23h23 identifier spoofer logs IDENTIFIER SPOOFER (logs) Windows 27/08 10h30->colombina15
23/01 18h39 fixer logs hijackthis Aide pour fixer des logs sous hijackthis Virus/Sécurité 26/01 11h54->céédric15
23/05 11h40 analyse logs Analyse de logs Développement 23/05 17h27->SKZ9
Discussion fermée Problème résolu Journaux logs Plus de discussions sur « Journaux logs »

Ce document intitulé « Détection d'attaques - Surveillance des journaux d'événements » issu de l'encyclopédie informatique Comment Ça Marche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.