Lors de l’uti­li­sa­tion d’un or­di­na­teur, d’une na­vi­ga­tion sur Internet avec une tablette ou lorsque vous exploitez un site Web sur un serveur, il existe de nombreux et dif­fé­rents processus qui se déroulent en arrière-plan de ces actions. Quand un problème survient, que des erreurs se pro­dui­sent ou que vous souhaitez sim­ple­ment en savoir plus sur le fonc­tion­ne­ment des actions d’un système d’ex­ploi­ta­tion, alors les fichiers log peuvent vous aidez. Ils sont au­to­ma­ti­que­ment consignés par quasiment toutes les ap­pli­ca­tions, serveurs, bases de données et systèmes.

En général les fichiers journaux (également fichiers de traces) sont rarement lus et évalués – ils rem­plis­sent en effet une fonction similaire à un en­re­gis­treur de vol, qui est inspecté uni­que­ment en cas d’urgence. Grâce à la manière dont ils en­re­gistrent les données, les fichiers log sont fi­na­le­ment une ex­cel­lente source pour trouver les erreurs d’un système ou d’un programme et pour en­re­gis­trer le com­por­te­ment des uti­li­sa­teurs. Ceci est donc in­té­res­sant pour les fa­bri­cants de logiciels mais également pour les opé­ra­teurs de sites Internet, en effet ces derniers peuvent ainsi récolter de nom­breuses données des fichiers journaux qui sont localisés sur le site Web.

Qu’est-ce qu’un fichier log ?

Les fichiers journaux sont l’his­to­rique des évè­ne­ments et con­tien­nent ainsi des fichiers textes simples. Cela comporte toutes les in­for­ma­tions des processus qui ont été définies comme étant per­ti­nentes par les pro­gram­meurs. Quand on arrive au niveau de la base de données du fichier journal, on y trouve tous les chan­ge­ments réalisés pour exécuter cor­rec­te­ment les tran­sac­tions. Si une partie de la base de données est supprimée, par exemple dans le cas d’une panne du système, alors le fichier journal est la base pour la bonne res­tau­ra­tion, ré­cu­pé­ra­tion des données.

Les fichiers log sont générés au­to­ma­ti­que­ment en fonction de la pro­gram­ma­tion initiale. Mais il est tout de même possible de créer votre propre fichier journal, à condition d’être assez familier avec la méthode et l’aspect technique. En général, une ligne dans un fichier log contient l’in­for­ma­tion suivante : 

  • En­re­gis­tre­ment d’un évènement (par exemple le lancement d’un programme)
  • Ho­ro­da­tage, Ce qui associe une date et une heure à un évènement

En règle générale l’ho­ro­da­tage est préfixé pour tenir compte de l’ordre chro­no­lo­gique des évè­ne­ments. 

Uti­li­sa­tion ordinaire du fichier journal

Les systèmes d’ex­ploi­ta­tion cons­ti­tuent plusieurs fichiers journaux standards dans lesquels dif­fé­rents types de processus sont associés. Par exemple le système Windows en­re­gistre les in­for­ma­tions des évè­ne­ments de l’ap­pli­ca­tion, du système, de l’ins­tal­la­tion ou de la sécurité. Les ad­mi­nis­tra­teurs peuvent ainsi avoir un aperçu dans le fichier log cor­res­pon­dant à l’in­for­ma­tion, ce qui est utile pour corriger un problème. En outre les fichiers journaux de Windows indiquent notamment quel uti­li­sa­teur s’est connecté au système. En plus des systèmes d’ex­ploi­ta­tion, les pro­grammes et systèmes suivants col­lec­tent des donnés très dif­fé­rentes :

  • Les pro­grammes d’arrière-plan comme par exemple les emails, les bases de données ou les serveurs proxy génèrent des fichiers journaux qui en­re­gistrent surtout les erreurs et les messages d’évè­ne­ments. Ce qui permet d’aider au niveau de la sécurité et notamment de restaurer une donnée lors d’un problème. 

  • Les Logiciels installés comme Programme Office, des jeux, Instant Messenger, un pare-feu, un logiciel antivirus, en­re­gistrent aussi des données dif­fé­rentes dans les fichiers logs. Cela peut être également des con­fi­gu­ra­tions dif­fé­rentes ou des messages de con­ver­sa­tions. Mais surtout, les accidents des pro­grammes sont en­re­gis­trés, cela aide au trai­te­ment ra­pi­de­ment d’une erreur.

  • Les serveurs (notamment les serveurs Web) con­sig­nent les activités im­por­tantes du réseau, dont des in­for­ma­tions im­por­tantes sur les uti­li­sa­teurs et le com­por­te­ment de ces derniers sur le réseau. De plus cela autorise les ad­mi­nis­tra­teurs à connaitre quel uti­li­sa­teur a lancé une ap­pli­ca­tion ou té­lé­chargé un fichier, combien de temps il a pris pour cela, et enfin quel système d’ex­ploi­ta­tion il a utilisé. L’analyse des fichiers log des serveurs Web est une ancienne méthode de contrôle du Web et un bel exemple des diverses uti­li­sa­tions des fichiers journaux.

Exemple type du potentiel des fichiers log : Les fichiers journaux des serveurs Web.

Ini­tia­le­ment, les fichiers log des serveurs Web comme Apache ou Microsoft IIS  étaient l’option par défaut pour en­re­gis­trer et traiter une erreur de processus. On a ra­pi­de­ment découvert que le fichier journal d’un serveur Web contenait bien d’autres données im­por­tantes : des In­for­ma­tions sur l’ac­ces­si­bi­lité et la po­pu­la­rité des sites Internet hébergés sur le serveur ainsi que les données des uti­li­sa­teurs comme :

  • L’heure et date de con­sul­ta­tion
  • Le nombre de con­sul­ta­tions
  • La durée de la session
  • L’adresse IP et le nom d‘hôte de l’uti­li­sa­teur
  • Les in­for­ma­tions sur le client demandeur (en général le na­vi­ga­teur)
  • Le moteur de recherche utilisé, dont les requêtes
  • Le système d’ex­ploi­ta­tion utilisé

Une entrée classique d’un fichier log d’un serveur Web se présente comme ci-dessous:

183.121.143.32 - - [18/Mar/2003:08:04:22 +0200] "GET /images/logo.jpg HTTP/1.1" 200 512 "http://www.wikipedia.org/" "Mozilla/5.0 (X11; U; Linux i686; de-DE;rv:1.7.5)"

Il­lus­tra­tion détaillée des pa­ra­mètres :

Sens Exemple Ex­pli­ca­tion
Adresse IP 183.121.143.32 L’adresse IP de l’hôte demandeur
Vide - Identité par défaut non iden­ti­fiée RFC 1413
Qui ? - Révèle le nom d’uti­li­sa­teur, sous réserve que l’au­then­ti­fi­ca­tion HTTP a bien eu lieu, sinon cela reste vide comme dans cet exemple.
Quand ? [18/Mar/2003:08:04:22 +0200] Ho­ro­da­tage, ce qui signifie la date, l’heure et le décalage horaire.
Quoi ? GET /images/logo.jpg HTTP/1.1 L’évènement produit. Dans la cas présent une demande d’image via HTTP
Ok 200 Con­fir­ma­tion de la réussite de la requête (Codes de statut HTTP 200)
Combien ? 512 Si ap­pli­cable : La quantité des données en Bytes
D’où ? http://www.wikipedia.org/ L’adresse Web d’origine du fichier
Comment ? Mozilla/5.0 (X11; U; Linux i686; de-DE;rv:1.7.5) In­for­ma­tions tech­niques de l’uti­li­sa­teur : na­vi­ga­teur, système d’ex­ploi­ta­tion, le noyau, interface de l‘uti­li­sa­teur, guide vocal, version

Afin d’évaluer le flux d’in­for­ma­tion, un outil comme Webalizer a été développé. Cet outil exploite les données des fichiers log pour les convertir en sta­tis­tiques, tableaux et gra­phiques. Ces in­for­ma­tions sont notamment né­ces­saires pour dé­ter­mi­ner les tendances de la crois­sance d’un site Internet, la facilité d’uti­li­sa­tion de chaque page, les thèmes et mots-clés per­ti­nents. Même si l’analyse du fichier log du serveur Web continue d’être encore utilisée, Il existe désormais des nouvelles méthodes de l’analyse Web comme les Cookies et le marquage Web. Les raisons sont notamment le taux d’erreur élevé dans l‘analyse des données du fichier log dans le clas­se­ment des sessions, de plus les opé­ra­teurs de site Web n’ont pas toujours accès au fichier journal du serveur Web. En revanche tous les messages d’erreur sont en­re­gis­trés im­mé­dia­te­ment et de plus les données provenant de l’analyse du fichier log restent à l’intérieur de l’en­tre­prise.

Aller au menu principal