Passer au contenu principal

Recherche à froid

Cold Search - Recherche dans les Journaux Archivés

Mis à jour cette semaine

Vue d'ensemble

La recherche à froid (Cold Search) vous permet d'analyser les journaux qui ont été archivés dans un stockage à long terme.

Cette fonctionnalité est essentielle pour la conformité, les audits et l'investigation d'événements passés.

Différence entre Recherche à Chaud et Recherche à Froid

La recherche à chaud analyse les journaux récents et actifs, disponibles immédiatement pour une consultation rapide. Elle est optimisée pour les données actuelles et offre des performances élevées.

La recherche à froid accède aux journaux archivés dans le stockage à long terme. Ces données historiques nécessitent plus de temps de traitement mais permettent d'analyser des périodes étendues.

Accès à la Recherche à Froid

Pour effectuer une recherche à froid, vous devez spécifier :

  • Période de recherche : Dates de début et de fin (start_date et end_date)

  • Organisation : L'identifiant de votre organisation (organization_id)

  • Emplacements : Les emplacements spécifiques à analyser (location_ids)

  • Filtres d'hôte : Critères de filtrage optionnels (host_filters)

Recherche par Période

La recherche à froid nécessite toujours une plage de dates définie. Plus la période est longue, plus le temps de traitement sera important.

Conseils pour définir votre période :

  • Commencez par une période courte pour tester votre requête

  • Élargissez progressivement si nécessaire

  • Tenez compte des politiques de rétention de votre organisation

Considérations de Performance

Temps de traitement

Les recherches à froid prennent plus de temps que les recherches à chaud car elles accèdent à des données archivées. Le temps de traitement dépend de :

  • La taille de la période analysée

  • Le nombre d'emplacements inclus

  • La complexité des filtres appliqués

  • Le volume total de données archivées

Optimisation des requêtes

Pour améliorer les performances :

  1. Limitez la période : Recherchez la période la plus courte possible

  2. Sélectionnez des emplacements spécifiques : Évitez de rechercher dans tous les emplacements si possible

  3. Utilisez des filtres précis : Des critères de recherche spécifiques réduisent le volume de données à traiter

  4. Planifiez les recherches volumineuses : Effectuez les analyses importantes pendant les heures creuses

Implications de Coût

Les recherches à froid peuvent entraîner des coûts supplémentaires car elles accèdent au stockage à long terme. Consultez votre administrateur pour comprendre :

  • Les politiques de coût de votre organisation

  • Les limites de recherche éventuelles

  • Les meilleures pratiques recommandées

Bonnes Pratiques

1. Planification

  • Définissez clairement l'objectif de votre recherche avant de commencer

  • Identifiez la période minimale nécessaire

  • Listez les emplacements pertinents

2. Exécution

  • Testez d'abord avec une période courte

  • Documentez vos critères de recherche

  • Conservez les résultats importants

3. Conformité et Audit

La recherche à froid est particulièrement utile pour :
- Les audits de sécurité
- Les enquêtes sur incidents passés
- La conformité réglementaire
- L'analyse de tendances historiques

Résultats de Recherche

Les résultats d'une recherche à froid incluent :

  • Identifiant de recherche (search_id) : Référence unique de votre requête

  • Requête (query) : Les critères de recherche utilisés

  • Type de recherche (search_type) : Confirmation qu'il s'agit d'une recherche à froid

  • Correspondances totales (total_matches) : Nombre total de journaux correspondants

  • Correspondances retournées (matches_returned) : Nombre de résultats dans la réponse actuelle

Cas d'Usage Courants

Investigation de Sécurité

Analysez les journaux historiques pour identifier des patterns d'activité suspecte sur plusieurs mois.

Conformité Réglementaire

Récupérez les journaux d'une période spécifique pour répondre aux exigences d'audit.

Analyse de Tendances

Étudiez l'évolution des événements sur de longues périodes pour identifier des tendances.

Résolution de Problèmes

Recherchez des incidents passés pour comprendre leur origine et prévenir leur récurrence.

Limitations

  • Les recherches à froid ne sont pas en temps réel

  • Le temps de traitement augmente avec la taille de la période

  • Certaines fonctionnalités peuvent nécessiter un abonnement premium

  • Les données archivées dépendent de vos politiques de rétention

Ressources Complémentaires

Pour plus d'informations, consultez :
- Recherche à Chaud : Pour analyser les journaux récents
- Gestion des Archives : Pour configurer vos politiques de rétention
- Statistiques d'Emplacement : Pour visualiser l'utilisation du stockage

Note : Les fonctionnalités disponibles peuvent varier selon votre abonnement et les permissions de votre organisation.

Articles connexes
Recherche à Chaud
Que sont les logs archivés?
Page des Archives de logs
Journaux d'audit
Est-il facile de télécharger mes journaux depuis LogCentral ?
Avez-vous trouvé la réponse à votre question ?