Retour au cours

Journalisation essentielle sous Linux (Syslog)

Maîtrise de la Cybersécurité : de Zéro à Héros

Surveiller l'activité Linux

Sous Linux, le mécanisme de journalisation standard est souvent géré par Syslog (ou des variantes modernes comme rsyslog ou journald). Les journaux sont généralement stockés sous forme de fichiers texte brut, ce qui les rend faciles à lire et à manipuler.

Emplacements clés des fichiers journaux

La plupart des journaux se trouvent dans le répertoire /var/log :

  • /var/log/auth.log (ou /var/log/secure sur Red Hat) : Critique pour surveiller les tentatives d'authentification, l'accès root et l'utilisation de sudo.
  • /var/log/kern.log : Messages du noyau, informations sur les périphériques.
  • /var/log/syslog (ou /var/log/messages) : Activité générale du système.
  • /var/log/apache2/access.log : Journaux du trafic du serveur web.

Analyser les journaux avec la CLI

Nous utilisons nos compétences Bash pour analyser rapidement ces fichiers :

bash

Voir la fin d'un fichier journal en temps réel (utile pour surveiller une attaque active)

tail -f /var/log/auth.log

Rechercher les échecs de mots de passe pour un utilisateur spécifique

grep "failed password" /var/log/auth.log