Fichier binaire de log

Question 1

Qu’est-ce qu’un fichier binaire de log et comment en créer ?

En informatique, le concept d’historique des événements ou de logging désigne l’enregistrement séquentiel dans un fichier ou une base de données de tous les événements affectant un processus particulier (application, activité d’un réseau informatique…). Le journal (en anglais log file ou plus simplement log) désigne alors le fichier contenant ces enregistrements. Généralement datés et classés par ordre chronologique, ces derniers permettent d’analyser pas à pas l’activité interne du processus et ses interactions avec son environnement.

Il est possible de créer facilement un fichier binaire de log avec l’outil Tcpdump. Il archivera l’ensemble des paquets échangés sur une interface réseau.

Exemple :

# Il faut lancer tcpdump en mode administrateur (« Root »)

attila@attila:~$ sudo -s

[sudo] password for Attila: ********

# Lançons tcpdump en mode très détaillé (-v, -vv, -vvv)

root@attila:~$ tcpdump -vvv -A

On obtient alors le niveau de détail suivant :

tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

13:20:12.981227 IP (tos 0×0, ttl 64, id 39949, offset 0, flags [DF], proto TCP (6), length 643)

192.168.0.120.33886 > fk-in-f104.google.com.www: P 1984232662:1984233265(603) ack 196427752 win 28600 @.@……x.U.h.^.PvD….?.P.o…..GET /search?hl=fr&q=securite+informatique&

1 packets captured

26 packets received by filter

0 packets dropped by kernel

Cela correspond à la requête émise par le PC client : « 192.168.0.120 », à destination du serveur Google : « fk-in-f104.google.com ». Le contenu de la recherche est : « sécurité informatique ».

Il est possible d’affiner la capture sur certains ports, interfaces réseau, hôtes sources ou destination et de filtrer différents protocoles. Enfin, nous pouvons rediriger le résultat de l’étude vers un fichier binaire de log :

# Lancement redirigé vers le fichier test.log

root@attila:~$ tcpdump -vvv -A -w test.log

Cet utilitaire est réutilisé par l’outil Wireshark afin de structurer la capture des paquets.

Exemple :

Wireshark