L'INFORMATIQUE A L'ISC

A propos des journaux de traces (fichiers de logs)

I - Introduction

Tous nos serveurs informatiques prévus pour proposer des services réseaux (courrier électronique, serveur Web, accès distant, etc) produisent un certain nombre de journaux (aussi dénommés logs) dans lesquels sont consignées les traces de certaines activités des systèmes et de leur utilisation.

Pour une bonne gestion des ressources communes et pour des raisons de sécurité, l'équipe informatique est amenée à examiner et explorer ces journaux.

Ceci est notamment vrai pour tout ce qui concerne les activités réseaux. Le réseau est à la fois le principal problème de sécurité (c'est par là que les pirates arrivent), et la principale ressource qu'il convient aujourd'hui d'optimiser.

Nous sommes là pour que les serveurs et le réseau fonctionnent au mieux. Pour accomplir cette tâche, il nous faut veiller à ce que personne n'abuse des ressources au détriment des autres. Nous pouvons être amenés à agir sur des ressources des utilisateurs, lorsqu'un problème grave se manifeste (saturation de ressources, intrusion, ...)

Il est donc normal que chaque utilisateur soit bien conscient des informations qui sont stockées dans ces journaux, qui sont accessibles dans le cadre de notre travail (ce qui peut aller jusqu'à fournir ces informations à des services de police ou à la DST suite à un dépôt de plainte par exemple).

Aussi il nous semble important de vous sensibiliser à l'usage que vous pouvez faire du réseau, et aux traces figurant dans les journaux qui découlent de cet usage.

II - Inventaire, par type d'usages, des traces qui sont conservées

• "nom" signifie en fait le nom de login, qui permet, pour les personnes de notre réseau, de savoir de quelle personne physique il s'agit.
• "date" signifie en fait "date et heure" précises (grâce au protocole de synchronisation des horloges, nommé NTP).
• "provenance" signifie l'adresse réseau, autrement dit l'adresse Internet (adresse IP, c'est-à-dire qqch de la forme 134.214.x.y), qui peut se convertir en le nom Internet de la machine (c'est-à-dire qqch de la forme machine.univ-lyon1.fr).
• "entete" signifie un ensemble d'information permettant le cheminement d'un message entre deux hotes ou plus de l'Internet.

Il est donc conservé trace des :

• depuis un terminal graphique ou depuis la console de commande
• depuis n'importe quel poste informatique par les outils de type SSH
• vers les services réseaux communs (Web, Webmail,FTP,POP,IMAP,SMTP,DHCP)

• le nom de l'utilisateur sous lequel la connexion se fait
• la provenance
• les date de début et de fin de connexion

• le nom et la provenance de l'émetteur et du destinataire
• la date de l'envoi/réception

• l'adresse de la machine
• son emplacement
• les entetes (partielle) de certaines transactions

 III - Cadre d'usage de ces informations