Un log est un enregistrement chronologique d’un événement système ou applicatif. Chaque serveur, pare-feu, application ou base de données génère des logs : accès, erreurs, actions administrateur, connexions réseau, etc. Sans analyse structurée, ces volumes massifs de données restent inexploitables. L’analyse de logs permet :

• Détection d’incidents – identifier une intrusion, une panne ou une anomalie en temps réel.
• Diagnostic et résolution – comprendre l’enchaînement d’événements ayant mené à un problème.
• Conformité réglementaire – conservation et traçabilité exigées par RGPD, NIS2, ISO 27001.
• Optimisation des performances – analyser les goulots d’étranglement via les temps de réponse.

ISOSET intègre l’analyse de logs dans ses cursus cybersécurité et DevOps, avec des mises en situation sur des jeux de données réels.

Les logs existent sous différents formats. Leur lisibilité et leur exploitabilité dépendent de leur structure :

• Logs bruts (plain text) – simples, mais difficiles à parser automatiquement (ex : anciens logs Apache).
• Logs semi-structurés – clé=valeur, JSON, syslog. Facilement interprétables par des outils.
• Logs structurés (JSON, Protobuf) – chaque événement contient des champs typés (timestamp, level, message, user_id).

# Exemple de log structuré JSON (applicatif)
{
  "timestamp": "2025-04-20T10:32:15Z",
  "level": "ERROR",
  "service": "auth-api",
  "message": "Failed login attempt",
  "user_id": "john.doe",
  "source_ip": "203.0.113.45"
}

Les bonnes pratiques modernes imposent le logging structuré. Cela facilite la corrélation et l’analyse automatisée. ISOSET aide les entreprises à migrer leurs applications vers ce standard.

Dans une infrastructure distribuée (microservices, cloud hybride), les logs sont dispersés sur des dizaines de conteneurs ou de VMs. Une plateforme de centralisation collecte, agrège et indexe ces flux pour offrir une vision unifiée.

# Exemple de configuration Filebeat (shipping vers Elasticsearch)
filebeat.inputs:
- type: log
  paths:
    - /var/log/nginx/*.log
output.elasticsearch:
  hosts: ["https://elastic-cluster:9200"]
  username: "isoset_user"

Le marché propose des solutions open source et propriétaires, adaptées à différents besoins :

• ELK Stack (Elasticsearch, Logstash, Kibana) – la référence open source. Extensible, puissant, idéal pour les volumes massifs.
• Splunk – solution propriétaire, très répandue dans les grandes entreprises et les SOC. Langage SPL (Search Processing Language) très riche.
• Grafana Loki – léger, intégré à Grafana. Conçu pour les logs en environnement Kubernetes.
• Datadog Log Management – solution SaaS, intégration native avec l’APM et les métriques.
• Graylog – alternative open source à Splunk, avec interface web et alerting intégré.

ISOSET forme au grand public comme aux professionnels sur ces outils, avec des laboratoires pratiques pour apprendre à interroger et visualiser des logs.

Un événement suspect génère souvent des traces sur plusieurs composants. Par exemple, une attaque par force brute laisse des logs sur le pare-feu (tentatives échouées), sur l’application (échecs d’authentification) et sur le serveur (surcharge CPU). La corrélation consiste à rapprocher ces indices pour reconstituer une chaîne d’attaque.

# Requête Splunk de corrélation simple
index=auth_logs status=failed 
| stats count by src_ip 
| where count > 10
| join type=inner src_ip [search index=firewall action=blocked]

ISOSET propose également des ateliers d’initiation à la cybersécurité pour les jeunes, où l’analyse de logs est abordée de façon ludique (chasses au trésor numériques).

• Niveaux de logs cohérents – DEBUG, INFO, WARN, ERROR, FATAL. Ne pas logguer trop d’INFO en production.
• Contextualisation – ajouter systématiquement un identifiant de transaction (correlation_id) ou de session.
• Pas de secrets dans les logs – mots de passe, tokens, données personnelles sensibles doivent être masqués ou exclus.
• Rotation et rétention – définir des politiques (30 jours, 1 an selon conformité).
• Horodatage normalisé – utiliser UTC et un format ISO 8601.

Un SIEM (Security Information and Event Management) combine l’agrégation de logs, la corrélation en temps réel, l’alerte et la conservation longue durée. Il est au cœur des SOC (Security Operations Centers). Les solutions leaders incluent Splunk ES, QRadar, Sentinel, et Elastic Security.

• Cas d’usage typiques SIEM : détection brute force, mouvements latéraux, exfiltration de données, conformité.
• MITRE ATT&CK – framework de référence pour mapper les techniques d’attaque aux logs pertinents.

# Règle Sigma (format standard de détection) convertie en requête ELK
title: "Failed Logins from Multiple IPs"
logsource:
  category: authentication
detection:
  failures:
    status: "failed"
  threshold:
    field: user
    count: 10
    timeframe: 5m

ISOSET mobilise des formateurs experts en sécurité pour former les équipes à l’exploitation d’un SIEM, avec des cas pratiques basés sur des attaques réelles (simulées).

Les logs ne sont qu’une des trois piliers de l’observabilité, avec les métriques (Prometheus, Datadog) et les traces (Jaeger, Zipkin). La corrélation entre ces signaux permet de comprendre finement le comportement d’un système. Par exemple : une latence élevée (métrique) peut être expliquée par une erreur dans les logs, et la trace montre le chemin exact de la requête défaillante.

ISOSET recueille des témoignages d’anciens apprenants devenus SRE ou analystes SOC, qui soulignent l’importance de cette vision unifiée.