Faire de l’informatique à la maison : la journalisation

Poursuivant ma série sur la transformation de votre domicile en un environnement plus proche d’une véritable entreprise, je veux cette fois parler de la collecte de journaux. Nous avons un peu abordé ce sujet dans “Faire de l’informatique à la maison : tickets et supervision”, car Spiceworks, que j’y mentionnais, effectue une certaine collecte d’événements Windows. Ce n’était toutefois qu’un traitement très superficiel du sujet, et un véritable adepte du “Faire de l’informatique à la maison” voudra quelque chose de plus robuste et de classe entreprise.

La collecte, la recherche et la production de rapports de journaux en entreprise sont véritablement passées, au cours de la dernière décennie, du statut de niche à celui d’outil informatique central, sous l’impulsion de l’omniprésent Splunk. De nombreux produits sont susceptibles d’entrer dans cette catégorie, avec des degrés variables de fonctionnalités et de robustesse. Les systèmes de journalisation traditionnels “à l’ancienne” tendent à se répartir entre les collecteurs d’événements Windows tels que Spiceworks, Windows Event Collector et ManageEngine EventLog Analyzer. Dans le monde UNIX et dans celui du matériel réseau, nous avons tendance à travailler avec des systèmes compatibles syslog comme Rsyslog et Solarwinds Kiwi Syslog Server. Mais ces produits sont assez limités, étant très axés sur un nombre restreint de plateformes, et sont souvent assez coûteux (Kiwi) ou offrent une mauvaise expérience utilisateur (Rsyslog). Dans le cadre de l’exploration de votre laboratoire personnel, il peut être judicieux de jouer avec certains de ces produits. Mais pour vraiment faire passer votre journalisation au niveau supérieur, nous allons devoir nous tourner vers des plateformes bien plus robustes qui prennent en charge l’ensemble de ces sources de données et davantage, qui sont extensibles et qui sont conçues non seulement pour collecter des données, mais aussi pour les rendre interrogeables, affichables et, espérons-le, exploitables par bien plus que le seul administrateur système domestique aguerri.

En tête de file de cette nouvelle génération de systèmes de collecte de journaux se trouve Splunk. Splunk est avant tout un logiciel propriétaire installé sur site, mais il est disponible avec une option “Free” qui convient généralement parfaitement à un passionné d’informatique à domicile. L’édition Free limite le volume quotidien de journaux ingérés et ne prend pas en charge plusieurs utilisateurs, ce qui ne constituera probablement pas un véritable obstacle pour un usage domestique. La limite d’ingestion est actuellement de 500 Mo par jour, ce qui représente un volume de journaux considérable. Splunk comprend que ses clients payants ne seront jamais que de plus grandes structures aux volumes de journaux importants ; offrir gratuitement leur produit aux petites structures et aux particuliers contribue donc en réalité à leurs résultats financiers en favorisant une expérience et une connaissance plus larges de leur produit. Splunk est relativement complexe et demandera un certain effort de mise en place, mais il est extrêmement puissant et riche en fonctionnalités.

Splunk est loin d’être le seul acteur de la gestion de journaux sur site. Dans le domaine de l’open source, on observe une intense activité autour de la collecte et de la production de rapports de journaux, principalement bâtie sur la plateforme de données NoSQL Elasticsearch, et l’élément clé est connu sous le nom de pile “ELK”, en référence aux trois composants principaux : Elasticsearch, Logstash et Kibana. Une alternative courante consiste à conserver la pile mais à remplacer Kibana, l’interface d’analyse de données, par Graylog2, également open source. La pile ELK ou des piles similaires offrent des fonctionnalités très proches de celles de Splunk, sans les limitations de Splunk. Splunk reste assurément le choix le plus populaire en entreprise aujourd’hui, mais ELK gagne nettement du terrain dans les esprits et se rencontre le plus souvent dans les entreprises les plus innovantes telles que les start-ups technologiques, les cabinets de recherche et les grands services d’hébergement (Dreamhost en est un sponsor notable).

S’attaquer à un projet de gestion de journaux sur site fournira un excellent prétexte pour utiliser tout ce matériel supplémentaire qui traîne à la maison et offrira une expérience plus approfondie de l’administration système, car il y a davantage de “serveur” à gérer et à maintenir. Contrairement à ce qui se passe en entreprise, lorsqu’on fait de l’informatique à la maison, il y a de réels avantages à la prolifération technologique et au choix délibéré du chemin le plus difficile. Nous recherchons activement des défis et des systèmes utiles à faire tourner à la maison, qui produisent une valeur réelle, et l’analyse de journaux est un excellent moyen d’apporter de la valeur en exploitant des données que votre réseau crée déjà, et en vous les présentant d’une manière qui vous rend mieux à même d’anticiper les problèmes avant qu’ils ne surviennent, de localiser les incidents après coup et d’accroître considérablement la sécurité – savoir ce qui se passe sur votre réseau et dans vos appareils a beaucoup de valeur, et analyser manuellement les événements Windows et les syslogs UNIX est ennuyeux et source d’erreurs. Examiner des données graphiques est plus efficace et plus fiable. Et les plateformes de journalisation peuvent aussi envoyer des alertes en fonction des événements de journalisation.

La gestion de journaux sur site n’est pas la seule option. La gestion de journaux est également disponible selon un modèle économique de logiciel en tant que service (Software as a Service), avec deux acteurs réellement majeurs : Splunk – au travers de son service “Splunk Storm” – et le leader du marché, Loggly. Ces deux fournisseurs proposent des versions totalement gratuites, à capacité limitée, de leurs produits hébergés, qui dépassent largement tout ce dont un utilisateur d’informatique à domicile aura besoin. Ces services vous permettent d’être opérationnel avec une gestion de journaux de classe entreprise en quelques minutes, sans aucun investissement, ni en temps, ni en argent, ni en matériel. Si vos objectifs portent moins sur l’apprentissage de l’administration système et plus purement sur une bonne gestion de journaux, ou si vous ne disposez tout simplement pas des baies de matériel à la maison qui justifient la création délibérée de services informatiques “supplémentaires” dans la maison, alors la gestion de journaux hébergée est très probablement le bon choix pour vous. Pour ceux qui se concentrent sur le développement, l’administration réseau ou d’autres domaines de l’informatique, c’est sans doute l’option la plus utile. Loggly, en particulier, est facile à utiliser : n’importe qui peut s’inscrire et commencer à envoyer des données de journaux, et c’est aujourd’hui le principal produit de gestion de journaux hébergé.

Plus votre réseau domestique devient grand et actif, plus une bonne collecte et une bonne gestion de journaux gagnent en valeur. Les journaux offrent un aperçu approfondi de votre réseau, et une bonne solution de gestion de journaux vous fournira non seulement une vue d’ensemble de vos données, mais sera aussi utile pour remplacer les vues traditionnelles de vos données de journaux en temps réel. Travailler à partir d’une interface web agréable est généralement bien plus efficace que de parcourir manuellement des journaux, même lorsqu’on examine des événements en cours. Et certaines solutions de gestion de journaux offriront aussi de bonnes possibilités de conservation des journaux à long terme, ce qui fait souvent défaut dans les solutions non centralisées.

Une bonne gestion de journaux devient rapidement de plus en plus importante et constitue un service attendu en entreprise. Il y a cinq ans, il était courant de voir même de très grandes entreprises ne pas encore avoir adopté ce genre d’outils. Aujourd’hui, on suppose que toute entreprise d’une taille raisonnable disposera d’une solution de journalisation solide et mature, presque certainement Splunk, et avec les barrières à l’entrée de plus en plus basses d’ELK et de Loggly, nous voyons la journalisation d’entreprise se frayer un chemin dans des structures de plus en plus petites. Faire de la journalisation à la maison est une excellente façon d’enrichir votre portfolio personnel, d’étendre vos connaissances et vos compétences et d’étoffer votre CV. Lancez-vous dans la journalisation dès aujourd’hui !