La surveillance de l’activité du réseau peut être un travail fastidieux, mais il y a de bonnes raisons de le faire. D’abord, cela vous permet de trouver et d’enquêter sur les connexions suspectes sur les postes de travail, les appareils connectés aux réseaux et les serveurs, tout en identifiant les sources d’abus des administrateurs. Vous pouvez également retracer les installations de logiciels et les transferts de données pour identifier les problèmes potentiels en temps réel plutôt qu’après que les dégâts aient été causés.
Ces journaux contribuent également grandement à maintenir votre entreprise en conformité avec le règlement général sur la protection des données (RGPD) qui s’applique à toute entité opérant au sein de l’Union européenne. Si vous avez un site Web consultable dans l’UE, vous êtes admissible.
La journalisation – à la fois le suivi et l’analyse – devrait être un processus fondamental dans toute infrastructure de surveillance. Un fichier journal des transactions est nécessaire pour récupérer une base de données de serveur SQL après un désastre. De plus, en suivant les fichiers journaux, les équipes DevOps et les administrateurs de bases de données (DBA) peuvent maintenir des performances optimales de la base de données ou trouver des preuves d’activité non autorisée en cas de cyberattaque. Pour cette raison, il est important de surveiller et d’analyser régulièrement les journaux du système. C’est un moyen fiable de recréer la chaîne d’événements qui a conduit à quelque problème que ce soit.
Il existe aujourd’hui un assez grand nombre de traqueurs de journaux et d’outils d’analyse open source, ce qui rend le choix des bonnes ressources pour les journaux d’activité plus facile que vous ne le pensez. La communauté des logiciels libres et open source propose des conceptions de journaux qui fonctionnent avec toutes sortes de sites et à peu près tous les systèmes d’exploitation. Voici cinq des meilleurs que j’ai utilisés, sans ordre particulier.
Graylog
Graylog a démarré en Allemagne en 2011 et est maintenant proposé soit comme un outil open source, soit comme une solution commerciale. Il est conçu pour être un système centralisé de gestion des journaux qui reçoit des flux de données de divers serveurs ou points d’extrémité et vous permet de parcourir ou d’analyser ces informations rapidement.
Graylog s’est forgé une réputation positive parmi les administrateurs système en raison de sa facilité d’évolution. La plupart des projets web commencent petit mais peuvent croître de manière exponentielle. Graylog peut équilibrer les charges sur un réseau de serveurs dorsaux et traiter plusieurs téraoctets de données de journal chaque jour.
Les administrateurs informatiques trouveront que l’interface frontale de Graylog est facile à utiliser et robuste dans ses fonctionnalités. Graylog est construit autour du concept de tableaux de bord, ce qui vous permet de choisir les mesures ou les sources de données qui vous semblent les plus précieuses et de voir rapidement les tendances dans le temps.
Lorsqu’un incident de sécurité ou de performance se produit, les administrateurs informatiques veulent pouvoir remonter des symptômes à une cause profonde le plus rapidement possible. La fonctionnalité de recherche de Graylog facilite cette tâche. Elle dispose d’une tolérance aux pannes intégrée qui peut exécuter des recherches multithreads afin que vous puissiez analyser plusieurs menaces potentielles ensemble.
Nagios
Nagios a commencé avec un seul développeur en 1999 et a depuis évolué pour devenir l’un des outils open source les plus fiables pour la gestion des données de log. La version actuelle de Nagios peut s’intégrer à des serveurs fonctionnant sous Microsoft Windows, Linux ou Unix.
Son produit principal est un serveur de logs, qui vise à simplifier la collecte de données et à rendre les informations plus accessibles aux administrateurs système. Le moteur du serveur de logs Nagios va capturer les données en temps réel et les alimenter dans un outil de recherche puissant. L’intégration avec un nouveau terminal ou une nouvelle application est facile grâce à l’assistant de configuration intégré.
Nagios est le plus souvent utilisé dans les organisations qui doivent surveiller la sécurité de leur réseau local. Il peut auditer une série d’événements liés au réseau et aider à automatiser la distribution d’alertes. Nagios peut même être configuré pour exécuter des scripts prédéfinis si une certaine condition est remplie, ce qui vous permet de résoudre les problèmes avant qu’un humain n’ait à intervenir.
Dans le cadre de l’audit du réseau, Nagios filtrera les données des journaux en fonction de l’emplacement géographique d’où elles proviennent. Cela signifie que vous pouvez construire des tableaux de bord complets avec la technologie de cartographie pour comprendre comment votre trafic web circule.
Elastic Stack (la « pile ELK »)
Elastic Stack, souvent appelé la pile ELK, est l’un des outils open source les plus populaires parmi les organisations qui ont besoin de passer au crible de grands ensembles de données et de donner un sens à leurs journaux système (et c’est aussi un favori personnel).
Son offre principale est composée de trois produits distincts : Elasticsearch, Kibana et Logstash :
-
Comme son nom l’indique, Elasticsearch est conçu pour aider les utilisateurs à trouver des correspondances au sein d’ensembles de données en utilisant un large éventail de langages et de types de requêtes. La rapidité est l’avantage numéro un de cet outil. Il peut être étendu en clusters de centaines de nœuds de serveur pour traiter des pétaoctets de données en toute simplicité.
-
Kibana est un outil de visualisation qui fonctionne aux côtés d’Elasticsearch pour permettre aux utilisateurs d’analyser leurs données et de construire des rapports puissants. Lorsque vous installez pour la première fois le moteur Kibana sur votre cluster de serveurs, vous accédez à une interface qui affiche des statistiques, des graphiques et même des animations de vos données.
-
La dernière pièce d’ELK Stack est Logstash, qui agit comme un pipeline purement côté serveur dans la base de données Elasticsearch. Vous pouvez intégrer Logstash à une variété de langages de codage et d’API afin que les informations de vos sites Web et de vos applications mobiles soient directement introduites dans votre puissant moteur de recherche Elastic Stalk.
Une caractéristique unique d’ELK Stack est qu’il vous permet de surveiller les applications construites sur des installations open source de WordPress. Contrairement à la plupart des outils de journaux d’audit de sécurité prêts à l’emploi qui suivent les journaux d’administration et de PHP, mais guère plus, ELK Stack peut passer au crible les journaux du serveur Web et de la base de données.
Un mauvais suivi des journaux et une mauvaise gestion des bases de données sont l’une des causes les plus courantes des mauvaises performances des sites Web. Le fait de ne pas vérifier, optimiser et vider régulièrement les journaux de base de données peut non seulement ralentir un site, mais aussi conduire à un crash complet. Ainsi, la pile ELK est un excellent outil pour la boîte à outils de tout développeur WordPress.
LOGalyze
LOGalyze est une organisation basée en Hongrie qui construit des outils open source pour les administrateurs système et les experts en sécurité afin de les aider à gérer les journaux de serveur et à les transformer en points de données utiles. Son produit principal est disponible en téléchargement gratuit pour un usage personnel ou commercial.
LOGalyze est conçu pour fonctionner comme un pipeline massif dans lequel plusieurs serveurs, applications et périphériques réseau peuvent alimenter des informations en utilisant la méthode SOAP (Simple Object Access Protocol). Il fournit une interface frontale où les administrateurs peuvent se connecter pour surveiller la collecte des données et commencer à les analyser.
Depuis l’interface web de LOGalyze, vous pouvez exécuter des rapports dynamiques et les exporter dans des fichiers Excel, des PDF ou d’autres formats. Ces rapports peuvent être basés sur des statistiques multidimensionnelles gérées par le backend de LOGalyze. Il peut même combiner les champs de données entre les serveurs ou les applications pour vous aider à repérer les tendances en matière de performances.
LOGalyze est conçu pour être installé et configuré en moins d’une heure. Il dispose de fonctionnalités préconstruites qui lui permettent de recueillir des données d’audit dans les formats requis par les actes réglementaires. Par exemple, LOGalyze peut facilement exécuter différents rapports HIPAA pour s’assurer que votre organisation respecte les réglementations en matière de santé et reste conforme.
Fluentd
Si votre organisation possède des sources de données vivant dans de nombreux endroits et environnements différents, votre objectif devrait être de les centraliser autant que possible. Sinon, vous aurez du mal à surveiller les performances et à vous protéger contre les menaces de sécurité.
Fluentd est une solution robuste pour la collecte de données et est entièrement open source. Il n’offre pas une interface frontale complète, mais agit plutôt comme une couche de collecte pour aider à organiser différents pipelines. Fluentd est utilisé par certaines des plus grandes entreprises du monde, mais peut également être mis en œuvre dans des organisations plus petites.
Le plus grand avantage de Fluentd est sa compatibilité avec les outils technologiques les plus courants disponibles aujourd’hui. Par exemple, vous pouvez utiliser Fluentd pour collecter des données à partir de serveurs web comme Apache, de capteurs d’appareils intelligents et d’enregistrements dynamiques de MongoDB. Ce que vous faites avec ces données dépend entièrement de vous.
Fluentd est basé sur le format de données JSON et peut être utilisé conjointement avec plus de 500 plugins créés par des développeurs réputés. Cela vous permet d’étendre vos données de journalisation dans d’autres applications et d’en tirer une meilleure analyse avec un minimum d’effort manuel.
La ligne de fond
Si vous n’utilisez pas déjà les journaux d’activité pour des raisons de sécurité, de conformité gouvernementale et de mesure de la productivité, engagez-vous à changer cela. Il existe de nombreux plugins sur le marché, conçus pour fonctionner avec plusieurs environnements et plateformes, même sur votre réseau interne. N’attendez pas qu’un incident grave justifie l’adoption d’une approche proactive de la maintenance et de la surveillance des journaux.