Aller au contenu

Vérifier les logs du serveur

Les fichiers de log sont des traces automatiques générées par les systèmes d'exploitation, les applications ou les périphériques. Ils sont essentiels pour comprendre le fonctionnement d'un serveur, détecter les problèmes, assurer la sécurité et diagnostiquer les incidents.

Un fichier de log contient des enregistrements structurés (timestamp, niveau de gravité, source, message) permettant aux administrateurs système de remonter aux causes d'un dysfonctionnement.

Types d'informations enregistrées

Voici les principales catégories d'événements consignés dans les logs :

  • Mises à jour système : historique des correctifs et installations (ex. : /var/log/apt/history.log sous Debian/Ubuntu).
  • Modifications de fichiers : suivi des créations, suppressions ou changements via auditd ou /var/log/syslog.
  • Connexions utilisateurs : authentifications, déconnexions, adresses IP source (/var/log/auth.log, /var/log/wtmp).
  • Erreurs système : problèmes matériels, erreurs noyau, anomalies dans /var/log/syslog ou /var/log/kern.log.
  • Evénements de sécurité : échecs d'authentification, tentatives d'accès non autorisé (/var/log/auth.log).
  • Actions administrateur : utilisation de sudo et changements critiques.
  • Activité réseau : logs de pare-feu (/var/log/ufw.log, iptables/nftables).
  • Transactions de base de données : opérations MySQL/PostgreSQL consignées dans leurs journaux dédiés.
  • Evénements applicatifs : journaux spécifiques aux applications (/var/log/mon-app.log).
  • Accès web : requêtes HTTP et réponses (/var/log/apache2/access.log, /var/log/nginx/access.log).
  • Utilisation des ressources : charge CPU, RAM, disque (via sar, dmesg ou monitoring).
  • Evénements système : démarrage/arrêt (/var/log/boot.log, messages dmesg).
  • Messages système généraux : notifications de santé et d'état global (/var/log/messages ou /var/log/syslog).

ubuntu-log.png

Gestion et organisation des logs

Rotation et archivage

Les logs croissent rapidement et peuvent saturer le disque. Sous Linux, logrotate gère automatiquement :

  • L'archivage des anciens journaux.
  • La suppression ou la compression (gzip) des fichiers trop volumineux.
  • La conservation selon une politique (nombre de jours ou de versions).

Centralisation

Dans des environnements complexes, il est difficile de lire manuellement chaque log sur chaque machine. On utilise alors des solutions de collecte et centralisation :

  • Syslog : standard de transmission des logs.
  • ELK Stack (Elasticsearch, Logstash, Kibana) : collecte, analyse et visualisation centralisées.
  • Graylog ou Splunk : solutions avancées de corrélation et d'alerting.

Ces systèmes permettent :

  • Une surveillance en temps réel.
  • La détection proactive d'incidents.
  • La génération de tableaux de bord de sécurité.

Permissions et accès

  • Les logs critiques (authentification, sécurité) sont protégés par défaut.
  • Sous Linux, seuls les utilisateurs root ou les membres du groupe adm peuvent accéder à certains fichiers comme /var/log/auth.log.
  • Cela empêche un utilisateur standard d'espionner les activités des autres.

Bonnes pratiques

  • Toujours commencer un diagnostic par les logs (erreurs système, lenteurs, services qui ne démarrent pas).

  • Utiliser des commandes comme :

    tail -f /var/log/syslog
journalctl -xe
less /var/log/auth.log

  • Mettre en place un système d'alertes (par ex. : détection d'échecs SSH répétés).

  • Centraliser les logs pour les grandes infrastructures.

Tip

🚨 En cas de problème (erreur, panne, comportement suspect), le premier réflexe est d'aller lire les logs.

Ils contiennent presque toujours des indices précieux sur la nature et la cause du dysfonctionnement.