Qu'est-ce qu'une analyse de journal?
L'analyse des journaux est l'ensemble des compétences permettant de traduire les données générées par un ordinateur en informations significatives. Les programmes informatiques sont souvent programmés pour générer des "journaux", tels que des rapports d'erreur, indiquant la fonctionnalité générale de l'élément. Pour économiser de l'espace sur le disque dur de l'ordinateur, ces journaux sont souvent écrits en abrégé, ce qui rend la traduction nécessaire pour extraire les informations. La conversion des journaux en données est souvent utilisée pour le dépannage du système, la corrélation entre des événements apparemment sans lien sur un système et la classification des informations de journal à des fins d'archivage.
Les données du journal de l'ordinateur ressemblent à du charabia complet à toute personne non formée pour la comprendre. L'analyse du journal permet de reconvertir ces informations en anglais utile et lisible. Les données de journal de l'ordinateur contiennent souvent des informations d'horodatage, ce qui permet à l'analyste de journal de générer un calendrier de travail des événements de la journée ou de la semaine précédente dans le programme. Lorsque les journaux traduits de divers programmes actifs sur le système sont comparés, des modèles peuvent aider à rationaliser, optimiser, dépanner et protéger l’ordinateur des erreurs.
Imaginez un ordinateur exécutant 10 ou 20 programmes en même temps. Maintenant, imaginez que tous les jours à 9h00, l'ordinateur se bloque. En l'absence de données de journal, il peut être difficile, voire impossible, de prédire la cause première du problème. Avec l'analyse du journal, un technicien peut rapidement obtenir et traduire les informations de rapport du journal de chaque programme, en recherchant tout comportement anormal pouvant avoir déclenché le blocage. Si un seul programme signale un problème à ce moment précis, la cause devient évidente; Si deux programmes ou plus signalent des problèmes identiques, le technicien peut utiliser les données du journal pour approfondir la recherche, en recherchant un conflit potentiel entre les deux programmes défaillants.
L'analyse des journaux peut également être utilisée pour suivre la progression des programmes malveillants dans le système en suivant leurs "traces" proverbiales dans divers programmes actifs. La recherche de modèles dans les journaux de divers programmes peut aider le technicien en journalisation à détecter une activité de pirate informatique inaperçue sur le réseau informatique. Par exemple, trouver un motif d'accès étrange dans un seul programme peut sembler une anomalie dans le système, mais si le même motif d'accès apparaît soudainement dans une douzaine de journaux différents, il y a de bonnes chances que quelqu'un ait piraté l'ordinateur.
En règle générale, l'analyse des journaux est aussi utile que la personne qui effectue l'analyse. Même si un technicien expérimenté avec des années d’expérience est capable de trouver des erreurs et d’autres schémas dans des données apparemment disparates, un novice peut trébucher devant les mêmes indices. Les journaux de programme fournissent les données brutes nécessaires pour effectuer des ajustements, mais seule l'intuition humaine permet de traiter ces données sous une forme utile.