| has abstract
| - In computer log management and intelligence, log analysis (or system and network log analysis) is an art and science seeking to make sense of computer-generated records (also called log or audit trail records). The process of creating such records is called data logging. Typical reasons why people perform log analysis are:
* Compliance with security policies
* Compliance with audit or regulation
* System troubleshooting
* Forensics (during investigations or in response to a subpoena)
* Security incident response
* Understanding online user behavior Logs are emitted by network devices, operating systems, applications and all manner of intelligent or programmable devices. A stream of messages in time sequence often comprises a log. Logs may be directed to files and stored on disk or directed as a network stream to a log collector. Log messages must usually be interpreted concerning the internal state of its source (e.g., application) and announce security-relevant or operations-relevant events (e.g., a user login, or a systems error). Logs are often created by software developers to aid in the debugging of the operation of an application or understanding how users are interacting with a system, such as a search engine. The syntax and semantics of data within log messages are usually application or vendor-specific. The terminology may also vary; for example, the authentication of a user to an application may be described as a log in, a logon, a user connection or an authentication event. Hence, log analysis must interpret messages within the context of an application, vendor, system or configuration to make useful comparisons to messages from different log sources. Log message format or content may not always be fully documented. A task of the log analyst is to induce the system to emit the full range of messages to understand the complete domain from which the messages must be interpreted. A log analyst may map varying terminology from different log sources into a uniform, normalized terminology so that reports and statistics can be derived from a heterogeneous environment. For example, log messages from Windows, Unix, network firewalls, and databases may be aggregated into a "normalized" report for the auditor. Different systems may signal different message priorities with a different vocabulary, such as "error" and "warning" vs. "err", "warn", and "critical". Hence, log analysis practices exist on the continuum from text retrieval to reverse engineering of software. (en)
- En informatique, l'analyse des journaux (ou analyse des journaux des systèmes et des réseaux) est l'exploitation des enregistrements générés par un ordinateur pour différents types de tâches. Les principales motivations de l'analyse des journaux sont :
* le respect des politiques de sécurité ;
* le respect de l'audit ou de la réglementation ;
* le dépannage du système ;
* la recherche d'indices ou de preuves (pendant une enquête ou en réponse à une citation à comparaître) ;
* la réponse aux incidents de sécurité ;
* la compréhension du comportement des utilisateurs. Les messages contenus dans les journaux sont émis par des équipements de réseau, des systèmes d'exploitation, des applications et toutes sortes d'équipements intelligents ou programmables. Un journal est un flux de messages en séquence temporelle. Les journaux peuvent être dirigés vers des fichiers et stockés sur disque, ou dirigés sous forme de flux réseau vers un collecteur de journaux. Les messages de journal doivent généralement être interprétés en fonction de l'état interne de leur source (par exemple, une application) et peuvent annoncer des événements pertinents pour la sécurité ou les opérations (par exemple, une connexion d'utilisateur ou une erreur système). Les journaux sont souvent créés par les développeurs de logiciels pour aider au débogage d'une application ou pour comprendre comment les utilisateurs interagissent avec l'application. La syntaxe et la sémantique des données contenues dans les journaux sont généralement spécifiques à l'application ou au fournisseur. La terminologie peut également varier ; par exemple, l'authentification d'un utilisateur à une application peut être décrite comme un logon, un login, une connexion, une ouverture de session, une connexion d'utilisateur ou un événement d'authentification. Par conséquent, l'analyste des journaux doit interpréter les messages dans le contexte d'une application, d'un fournisseur, d'un système ou d'une configuration afin de faire des comparaisons utiles avec les messages semblables provenant d'autres journaux. Le format ou le contenu des messages de journaux ne sont pas toujours entièrement documentés. Une des tâches de l'analyste de journal est de programmer le système pour qu'il émette une gamme complète de messages afin de disposer de toute l'information nécessaire pour performer des analyses complètes du comportement d'un système et de ses utilisateurs. Un analyste de journaux peut standardiser la terminologie de différents journaux en une terminologie normalisée afin que des rapports et des statistiques puissent être dérivés d'un environnement hétérogène. Par exemple, les messages des journaux de Windows, d'Unix, des pare-feu de réseau et des bases de données peuvent être regroupés dans un rapport normalisé pour faciliter leur analyse. Différents systèmes peuvent signaler différentes priorités de messages avec un vocabulaire différent, comme error, warning, err, warn et critical (ou leurs équivalents français). L'analyse des journaux couvre donc sur un large spectre d'activités allant de l'extraction de texte à la rétro-ingénierie des logiciels. (fr)
|
![[RDF Data]](/fct/images/sw-rdf-blue.png)
![[cxml]](/fct/images/cxml_doc.png)
![[csv]](/fct/images/csv_doc.png)
![[text]](/fct/images/ntriples_doc.png)
![[turtle]](/fct/images/n3turtle_doc.png)
![[ld+json]](/fct/images/jsonld_doc.png)
![[rdf+json]](/fct/images/json_doc.png)
![[rdf+xml]](/fct/images/xml_doc.png)
![[atom+xml]](/fct/images/atom_doc.png)
![[html]](/fct/images/html_doc.png)