Comment exploiter rapidement et facilement les journaux de connexion Windows ?

De Ikoula Wiki
Jump to navigation Jump to search

fr:Comment exploiter rapidement et facilement les journaux de connexion Windows ? he:כיצד להפעיל בקלות ובמהירות יומני כניסה למערכת של Windows? ro:Cum să opereze rapid şi uşor se conectează conectare Windows? ru:Как действовать быстро и легко журналы Windows Логин? pl:Jak działają szybko i łatwo rejestruje identyfikator logowania systemu Windows? ja:どのように迅速かつ簡単に動作する Windows ログインのログ? ar:كيف تعمل بسرعة وسهولة تسجيل دخول Windows؟ zh:如何操作快速、 方便地登录 Windows 登录吗? de:Zum Betrieb schnell und einfach protokolliert Windows-Anmeldung? nl:Gebeurtenislogboeken om snel en gemakkelijk te bedienen Windows-aanmelding? it:Come far funzionare rapidamente e facilmente log di accesso di Windows? pt:Como operar rapidamente e facilmente os registros de logon do Windows? es:¿Cómo utilizar rápidamente y fácilmente registros de inicio de sesión de Windows? en:How to operate quickly and easily logs Windows login?


Présentation de LogParser

LogParser est un utilitaire en ligne de commande mis à votre disposition par Microsoft à partir de l'adresse suivante : http://www.microsoft.com/en-us/download/details.aspx?id=24659.

Vous pouvez également trouver plus de détails sur LogParser à l'adresse suivante (et en français) : https://technet.microsoft.com/fr-fr/scriptcenter/dd919274.aspx.

Un fichier d'installation au format MSI vous est proposé mais, une fois l'installation faite, le fichier LogParser.exe est "portable" (c'est-à-dire que le fichier exécutable peut être copié et utilisé sans installation et sans dépendance depuis n'importe quel poste utilisant Windows).

Cette application vous permet de générer différentes informations à partir de fichiers de journalisation au format W3C (entre autres).

Ce format est utilisé par défaut par Microsoft IIS (journaux Web et FTP) mais par d'autres applications également (Mail Enable, pour ne citer que lui).

L'avantage de LogParser est de pouvoir générer des rapports personnalisés grâce à une syntaxe similaire à celle du langage SQL.

Si vous hébergez votre site sur un serveur Windows (que ce soit une offre dédiée ou mutualisée), le langage SQL ne vous est sans doute pas inconnu. Dans le cas contraire, vous trouverez des exemples plus loin dans ce tutoriel pour vous familiariser avec la syntaxe SQL et les possibilités que LogParser peut vous offrir.


Utilité

Les journaux de connexion (quel que soit le système d'exploitation et quel que soit le service associé : web, ftp, mail, etc) sont trop souvent ignorés. Ils constituent pourtant la première étape dans un processus de recherche d'anomalies (erreurs dans le code source, liens erronés, dénis de services, bruteforce, etc.).

C'est en consultant de manière régulière les historiques de connexion à votre serveur que l'on peut prendre la mesure d'un fonctionnement anormal voire même d'un fonctionnement détourné de celui-ci et réagir au plus vite.

Outre la présence d'outils statistiques (utilisation de la bande passante, nombre de visiteurs, nombre de visites, nombre de mails envoyés) tels qu'Awstats ou Urchin, les statistiques générées ne donnent qu'une vue globale des différentes requêtes effectuées pour votre site Web.

En ce qui concerne les connexions aux autres services mentionnés en préambule de cet article (FTP et SMTP par exemple), vous ne disposez d'aucune donné chiffrée.

Dans ces deux cas, parmi d'autres, LogParser peut vous être utile.


Prérequis

Vous l'aurez sans doute compris, les prérequis sont peu nombreux et sont limités à :

  • LogParser
  • des journaux de connexion au format W3C.

Nous allons maintenant nous intéresser à où sont stockés les journaux de connexion et comment s'assurer que ces journaux sont au format W3C.

Si vous hébergez votre site sur une offre mutualisée, vous pouvez, si vous le souhaitez, passer au chapitre suivant, la configuration des différents serveurs de votre hébergement ne vous sont pas accessibles.

Dans un premier temps, il vous faut accéder à l'interface de gestion d'IIS via InetMgr qui est dans %windir%\system32\inetsrv\InetMgr.exe.

Dans la gestion du serveur, cliquez sur "Logging". C'est dans cette fenêtre que sont configurés les journaux de connexion à votre serveur :

Logparser01.png


Si vous hébergez plusieurs nom de domaine sur un même serveur, vous pouvez stocker les journaux de connexion de manière séparée où chaque fichier de journalisation sera créé suivant le nom de domaine ou ne conserver qu'un fichier de log pour tout le serveur.

Vous pouvez également, depuis cette fenêtre choisir le format utilisé pour stocker les historiques de connexion. Préférez autant que possible le format W3C.

Le bouton "Select Fields" vous permet de rendre vos journaux de connexion plus au moins complets suivant les informations que vous souhaitez archiver.

Voici les différentes informations que vous pouvez enregistrer dans les historiques de connexion de votre serveur IIS :

Logparser02.png


Vous trouverez les détails des différents champs proposés via la page ci-contre : https://technet.microsoft.com/fr-fr/library/cc754702%28v=ws.10%29.aspx.

Le second encadré vous permettra de mettre en place une rotation des journaux de connexion (ce qui revient à définir à quel moment un nouveau fichier sera créé pour stocker les visites sur votre site : soit d'une manière planifiée, soit en fonction de la taille du fichier de log voire même ne pas créer différents fichiers et tout enregistrer dans un seul et unique fichier).


Exemples d'utilisation

Le format des fichiers de connexions étant maintenant paramétré et leur emplacement également, nous allons pouvoir utiliser LogParser.

Voici un exemple simple d'utilisation de LogParser :

LogParser.exe -i:W3C -stats:OFF -iw:OFF "SELECT TOP 10 c-ip AS ip, COUNT(*) AS hits FROM C:\inetpub\logs\LogFiles\W3SVC1\*.log GROUP BY ip ORDER BY hits DESC"


Quelques explications s'imposent :

  • l'option "-i:W3C" permet de forcer la lecture des fichiers de connexion au format W3C
  • l'option "-stats:OFF" permet de désactiver les statistiques générées par LogParser (nombre d'enregistrements parcourus, nombre de résultats générés par la requête, temps d’exécution de la requête)
  • l'option "-iw:OFF" permet de désactiver les messages d'erreur rencontrées par LogParser dans la lecture des fichiers
  • "SELECT TOP 10 c-ip AS ip, COUNT(*) AS hits FROM C:\inetpub\logs\LogFiles\W3SVC1\*.log GROUP BY ip ORDER BY hits DESC" est la requête au format SQL : celle-ci permet de parcourir tous les fichiers .log contenus dans le répertoire C:\inetpub\logs\LogFiles\W3SVC1\ et de sélectionner les 10 adresses IP ayant le plus de visites pour les journaux de connexion qui sont parcourus (via l'association de "TOP 10", de "GROUP BY ip" et de "ORDER BY hits DESC").


Pour faire une comparaison avec une base de données SQL, le répertoire du ou des fichiers de log (qui peuvent être multiples et concaténés avec une virgule, correspond au nom de la table, le nom du "Field" (vu au paragraphe précédent dans la configuration des journaux de connexions) correspond au champ de la table.


Voici donc le résultat obtenu suite à notre utilisation conjuguée de LogParser et de la requête SQL passée en argument (les adresses IP des visiteurs de notre site ont été masquées) :

Logparser03.png

Cas pratiques

Vous pouvez à partir de LogParser effectuer beaucoup de choses différentes : créer des scripts qui mettent en place une police de sécurité sur votre serveur si un visiteur se connecte accède à votre site plus de X fois dans un intervalle de temps, générer des graphiques en fonction des différentes statistiques (via les options "-o:chart" et "-chartType:barstacked" par exemple - nécessite l'installation d'Office Chart Web Component cependant-), savoir quelles sont les pages qui génèrent le plus de traffic sur votre site, etc.


Aller plus loin avec LogParser

Ce tutoriel n'est qu'un préambule à l'utilisation de LogParser. Si vous souhaitez aller plus loin dans l'utilisation de cette application et plus particulièrement au niveau des requêtes SQL que vous pouvez utiliser avec l'utilitaire, LogParser, vous trouverez des exemples via les liens ci-dessous :



Cet article vous a semblé utile ?

0



Vous n'êtes pas autorisé à publier de commentaire.

Récupérée de « https://fr-wiki.ikoula.com/index.php?title=Comment_exploiter_rapidement_et_facilement_les_journaux_de_connexion_Windows_%3F&oldid=28945 »