Un journal de sécurité conserve des enregistrements continuellement mis à jour sur les événements liés à la sécurité dans un système ou un réseau informatique. Chaque fois qu’un événement correspondant aux paramètres se produit, le journal génère une nouvelle entrée. Ces programmes peuvent suivre les événements du système d’exploitation, les applications et l’activité du réseau. Les informations sont disponibles pour examen et peuvent être mises en réseau avec un système de gestion pour faciliter la localisation des événements préoccupants et l’identification de problèmes spécifiques dans le journal. Les fichiers bruts sont également disponibles pour que les techniciens les examinent manuellement.
Certains exemples d’entrées dans un journal de sécurité peuvent inclure des mises à jour de programme, des modifications d’autorisations et des intrusions suspectées. Le journal de sécurité s’exécute en permanence pour compiler des informations au profit de l’opérateur. En cas de problème, il peut être audité pour en savoir plus sur la nature de la situation et la réaction de l’ordinateur. Par exemple, un technicien peut remarquer qu’un pare-feu a bloqué une attaque tout en en autorisant une autre. Cela indique qu’une modification peut être nécessaire pour empêcher des intrusions similaires à l’avenir.
Les données compilées peuvent être stockées pendant des durées variables. Le maintien d’un journal de sécurité qui remonte au premier démarrage du système entraînerait la création d’un fichier volumineux. Ainsi, le système purge périodiquement ses journaux pour supprimer les anciennes données. Un technicien peut déterminer la durée de stockage la plus appropriée, en équilibrant le besoin de conserver de la mémoire avec le désir potentiel de pouvoir parcourir des enregistrements plus anciens pour identifier des modèles.
Un problème avec les journaux de sécurité est leur taille, même avec la suppression régulière des anciens enregistrements. Parcourir manuellement un journal peut être fonctionnellement impossible sur un ordinateur ou un réseau complexe en raison du grand nombre d’entrées. Ne pas regarder le document, cependant, va à l’encontre de l’objectif et peut signifier que les techniciens manquent des événements importants. Un serveur, par exemple, pourrait avoir une trace des événements dans le journal menant à une attaque. Si ceux-ci avaient été repérés, un piratage aurait pu être évité.
La gestion des journaux de sécurité peut impliquer l’utilisation d’un programme qui analyse le journal. Le programme peut rechercher des phrases clés ou des types d’événements spécifiques et générer un rapport pour l’opérateur. Certains peuvent déclencher des avertissements automatiques ; les serveurs, par exemple, peuvent appeler un numéro de téléphone d’urgence lorsque des signes de menace immédiate apparaissent dans le journal de sécurité. Cela devient une partie de la sécurité en couches du système afin de minimiser les risques de temps d’arrêt et de perte de données.