Journalisation

Les fichiers log, ou votre ordinateur sous haute surveillance. La journalisation d’un système informatique consiste, pour le système d’exploitation ou une application, à tenir un « log file », soit une trace écrite des événements qui se produisent pendant son fonctionnement.

Concrètement, l’appellation anglaise « log file » désigne un simple fichier texte enregistré automatiquement portant souvent l’extension *.log, mais pas obligatoirement.

Les principaux systèmes d’exploitation actuels, Windows, Linux, MacOS, Unix, sont tous journalisés et, en fonction des applications installées, des centaines de fichiers log sont présents sur le disque dur ou le SSD.

À noter que la syntaxe complexe des fichiers log, le plus souvent en anglais, ne rend pas leur interprétation aisée pour le profane, même si il existe des applications pour aider à leur décryptage.

La journalisation permet donc aux spécialistes de ne pas repartir de zéro après un crash système. Elle permet de reconstituer la table d’allocation des fichiers, mais aussi de savoir exactement quelles applications fonctionnaient lors du crash, ou quelles pages Internet étaient consultées, notamment. Cette autosurveillance du système est quasi exhaustive et le nombre de paramètres surveillés faramineux ! Tout ou presque est enregistré par un système d’exploitation journalisé, au point que la lecture (par un intrus) des logs peut entraîner des problèmes de confidentialité et une vulnérabilité accrue du système. La journalisation est donc un progrès à double tranchant : très utile pour le débogage, une enquête interne ou la recherche d’un point d’intrusion, elle peut aussi constituer une brèche de sécurité en livrant de multiples informations sur le système, sans oublier ses utilisateurs et leurs habitudes, qu’elles qu’elles soient…