Les journaux sont-ils assez lus?

Voici un article publié dans le site web Securisa.com le 10 mai 2006 et dans le bulletin « La sécurité simplifiée », vol. 2, no.19:

Nous savons tous que la journalisation des activités sur un serveur, c’est important. Tout comme la journalisation des communications qui transigent par un routeur ou un coupe-feu est également vitale. C’est grâce aux journaux que nous pouvons obtenir des traces des activités passées.

Mais, est-ce que les journaux sont vraiment consultés? Prenez le temps d’y penser. Essayez de calculer le nombre de journaux dont une organisation peut disposer. Avez-vous un chiffre? Maintenant, imaginez le nombre total d’entrées que peuvent avoir ces journaux pendant une semaine… Le nombre risque d’être assez impressionnant, n’est-ce pas? (NDLR : les serveurs proxy de certaines organisations génèrent plus de 8 mo de données, à chaque heure, et ce, depuis plusieurs années!).

Devant cette quantité incroyable d’informations, les attitudes des « surveillants des journaux » sont bien différentes d’une organisation à l’autre. Quelques-uns les consultent religieusement (mais c’est très rare). La plupart les vérifient en recherchant les petits points rouges (ou alertes), lorsqu’ils ont le temps de le faire, ou les consultent lorsqu’une intrusion est suspectée. Parfois, certains surveillants ne surveillent même pas les journaux!

Certains vous ont peut-être même déjà servi des répliques comme « …cette surveillance nécessiterait une personne à temps plein… », « …les journaux de ce produit sont difficiles à interpréter… » ou « …pourquoi journaliser les accès? ». Bref, ces mauvaises façons de faire et ces excuses ont déjà été vues et entendues dans plusieurs organisations.

Heureusement, il existe des moyens pour simplifier la consultation et la gestion des journaux. Ces moyens existent pour ces organisations ayant des problèmes avec les journaux. C’est à nous, en tant que conseiller, de les faire connaître.