Lire des logs efficacement

Les logs racontent ce qui s'est passé, mais rarement dans l'ordre idéal. Savoir les lire consiste à filtrer, contextualiser, corréler et garder une chronologie fiable.

Commencer par le contexte

Avant de lire des milliers de lignes, note :

• système concerné
• heure approximative
• fuseau horaire
• utilisateur ou IP
• service impacté
• action recherchée
• source des logs

Sans contexte, on se perd très vite.

Construire une chronologie

Une chronologie simple suffit souvent :

L'objectif est de passer d'une suite de lignes à une histoire vérifiable.

Commandes utiles Linux

tail -f /var/log/syslog
grep "Failed password" /var/log/auth.log
journalctl -u nginx --since "1 hour ago"
awk '{print $1, $2, $3}' fichier.log
sort fichier.log
uniq -c

Ce qu'il faut chercher

• erreurs répétées
• connexions échouées
• connexion réussie après échecs
• changement de droits
• création de compte
• service redémarré
• volume anormal
• IP ou domaine inconnu
• suppression ou rotation étrange de logs

Corrélation

Un seul log peut mentir par omission. Croise plusieurs sources :

• proxy web
• application
• système
• base de données
• authentification
• EDR ou antivirus
• pare-feu
• DNS

La corrélation renforce ou invalide une hypothèse.

Erreurs fréquentes

• oublier le fuseau horaire
• regarder seulement les erreurs
• ignorer les succès suspects
• confondre corrélation et preuve
• ne pas conserver les logs importants
• copier des secrets dans un rapport
• tirer une conclusion avant la chronologie

Bonnes pratiques

• noter les hypothèses
• travailler par fenêtre de temps
• conserver les commandes utilisées
• exporter les preuves utiles
• limiter les données personnelles
• protéger les fichiers de logs
• documenter les incertitudes