À ne pas confondre avec les SIEM, les solutions de gestion des journaux sont avant tout de puissants outils d’agrégation et de recherche.
La confusion est commune entre les SIEM (Security Information & Event Manager) et les solutions de gestion des journaux (log management). Et l’on peut le comprendre : dans les deux cas les journaux produits par les équipements, les applications et les postes de travail constituent leur matière première.
Cependant les finalités ne sont pas les mêmes : tandis que le SIEM est avant tout un outil dédié à la sécurité (analyse et alerte), l’outil de gestion des logs sera tout autant utilisé par la SSI que par la DSI, voire par la conformité !
Bien que leurs usages puissent être très différents, la confusion est telle qu’il n’est pas rare de voir des entreprises acquérir un SIEM alors qu’elles n’auraient besoin, en définitive, que d’un outil de gestion des journaux !
Avant tout des outils d’archivage
Les solutions de gestion des journaux ont pour objectif de centraliser et de conserver la multitude de journaux produits au quotidien par les équipements du SI. Leur objectif est d’être exhaustif. Ils sont ensuite en mesure de conserver cette masse documentaire de manière fiable, sur de longues périodes de temps. Ils proposent alors des outils d’indexation et de recherche avancés afin de procéder à des requêtes puissantes sur ce corpus de données.
Un outil industriel
Le focus d’un outil de log management porte réellement sur l’industrialisation de la collecte : il doit être en mesure de collecter rapidement un volume très important d’éléments à travers des sources très variées, et ceci sans interruption. Ces solutions sont couramment utilisées sur des volumétries très importantes et bénéficient donc d’optimisations spécifiques en ce sens.
Attention à la recherche
C’est l’usage premier d’un outil de gestion des logs : faire des recherches ciblées, que ce soit pour des questions de sécurité, de conformité ou pour trouver l’origine d’un dysfonctionnement du SI. Une attention particulière doit donc être apportée aux fonctions d’indexage (essentiel pour les performances) et sur la qualité du moteur de recherche (réactivité, pertinence, présentation).
