Aller au contenu

Vérifier les logs du serveur

Les fichiers de log sont des enregistrements automatiques d'activités, d'événements ou de données générés par un système informatique, un logiciel ou un appareil. Ils sont utilisés pour suivre et diagnostiquer les opérations, les erreurs et les performances d'un système. Chaque système, qu'il soit sous Linux, Windows, ou un autre OS, génère et stocke des fichiers de log pour différentes opérations.

Types d'informations

Mises à jour système

  • Informations sur les mises à jour logicielles ou système, y compris les détails sur les mises à jour appliquées, les dates et les résultats des mises à jour. Sur Linux, ces logs peuvent être trouvés dans des fichiers comme /var/log/apt/history.log.

Modifications de fichiers

  • Enregistre les changements apportés aux fichiers, tels que les créations, les modifications ou les suppressions de fichiers. Ces événements sont souvent suivis par des outils comme auditd ou via des logs système spécifiques (ex: /var/log/syslog).

Connexions utilisateurs

  • Journalise les connexions et les déconnexions des utilisateurs au système, y compris les heures et les adresses IP. Les systèmes Linux enregistrent souvent ces informations dans /var/log/auth.log (pour SSH et les connexions) ou /var/log/wtmp pour suivre l'historique des connexions.

Erreurs système

  • Capture les erreurs et les avertissements du système, ce qui permet de diagnostiquer les problèmes. Les erreurs du noyau et les messages importants peuvent être trouvés dans /var/log/syslog ou /var/log/kern.log.

Evénements de sécurité

  • Enregistre les activités liées à la sécurité, telles que les tentatives d'accès non autorisé, les échecs d'authentification, ou les violations potentielles. Ces événements sont particulièrement importants dans les logs SSH (comme /var/log/auth.log sous Linux).

Actions de l'administrateur

  • Journalise les actions effectuées par les administrateurs du système, comme les modifications de configuration ou les commandes sudo. Ces actions sont généralement enregistrées dans /var/log/auth.log sur les systèmes Ubuntu et Debian.

Activités réseau

  • Informations sur les communications réseau, y compris les connexions entrantes et sortantes, ainsi que les données transmises. Les logs de pare-feu, comme ceux générés par iptables ou nftables, peuvent être cruciaux pour surveiller le trafic réseau (souvent dans /var/log/ufw.log sur les systèmes Linux utilisant UFW).

Transactions de base de données

  • Enregistre les opérations de base de données, telles que les requêtes SQL, les insertions, les mises à jour et les suppressions. Des bases de données comme MySQL ou PostgreSQL disposent de leurs propres fichiers de log pour suivre ces événements.

Evénements d'application

  • Capture les événements spécifiques à une application, tels que les transactions ou les erreurs d'application. Chaque application peut disposer de ses propres logs dans des dossiers comme /var/log/myapp.log ou dans un répertoire spécifique à l'application.

Activités d'accès web

  • Journalise les requêtes HTTP, les codes de réponse, les URL demandées et d'autres activités liées au serveur web. Par exemple, les serveurs web comme Apache ou nginx enregistrent les requêtes dans des fichiers comme /var/log/apache2/access.log ou /var/log/nginx/access.log.

Utilisation des ressources

  • Enregistre l'utilisation des ressources système, comme l'utilisation de la mémoire, du CPU et du disque. Des outils comme sar (System Activity Report) ou top peuvent produire des logs sur l'utilisation des ressources, mais ces données peuvent aussi être trouvées dans les journaux du système.

Gestion des journaux

  • Des informations sur la rotation, l'archivage ou la suppression des fichiers de log eux-mêmes. La rotation de log est un processus automatique qui archive et remplace les anciens fichiers de log pour éviter de saturer l'espace disque. Sur Linux, ce processus est généralement géré par logrotate.

Evénements de démarrage/arrêt

  • Informations sur le démarrage et l'arrêt du système ou des services. Ces événements sont souvent enregistrés dans des journaux comme /var/log/boot.log ou via des messages dmesg.

Messages système

  • Messages généraux du système, tels que les notifications de santé ou d'état. Ces messages incluent des informations sur les événements du noyau, les démarrages et les arrêts de services.

ubuntu-log.png

Centralisation des logs

Dans les infrastructures plus complexes, il peut être difficile de suivre les fichiers de log de manière individuelle sur chaque machine. Des outils de centralisation des logs comme Syslog, ELK Stack (Elasticsearch, Logstash, Kibana) ou Graylog sont utilisés pour collecter, centraliser, et analyser les logs à partir de plusieurs serveurs.

Ces systèmes facilitent également la création d'alertes pour des événements critiques et permettent une surveillance en temps réel de l'infrastructure.

Permissions des fichiers de log

L'accès aux fichiers de log est généralement restreint aux utilisateurs ayant des privilèges administratifs. Sur les systèmes Linux, seuls les utilisateurs root ou les membres du groupe adm peuvent lire la plupart des fichiers de log sensibles (ex : /var/log/auth.log).

Tip

🚨 En cas d'erreurs, de problèmes ou de comportements étranges de l'OS, des systèmes ou des applications …

➡️ Consulter les fichiers de log !

Consultez les fichiers de log pertinents en fonction du problème identifié, et n'oubliez pas de vérifier les logs de sécurité et d'application spécifiques.