Aller au contenu
LogCentral Docs

Cold Search - Recherche dans les Journaux Archivés

Vue d’ensemble

Section intitulée « Vue d’ensemble »

La recherche à froid (Cold Search) vous permet d’analyser les journaux qui ont été archivés dans un stockage à long terme. Cette fonctionnalité est essentielle pour la conformité, les audits et l’investigation d’événements passés.

Différence entre Recherche à Chaud et Recherche à Froid

Section intitulée « Différence entre Recherche à Chaud et Recherche à Froid »
Section intitulée « Recherche à Chaud (Hot Search) »

La recherche à chaud analyse les journaux récents et actifs, disponibles immédiatement pour une consultation rapide. Elle est optimisée pour les données actuelles et offre des performances élevées.

Section intitulée « Recherche à Froid (Cold Search) »

La recherche à froid accède aux journaux archivés dans le stockage à long terme. Ces données historiques nécessitent plus de temps de traitement mais permettent d’analyser des périodes étendues.

Accès à la Recherche à Froid

Section intitulée « Accès à la Recherche à Froid »

Pour effectuer une recherche à froid, vous devez spécifier :

  • Période de recherche : Dates de début et de fin (start_date et end_date)
  • Organisation : L’identifiant de votre organisation (organization_id)
  • Emplacements : Les emplacements spécifiques à analyser (location_ids)
  • Filtres d’hôte : Critères de filtrage optionnels (host_filters)

Recherche par Période

Section intitulée « Recherche par Période »

La recherche à froid nécessite toujours une plage de dates définie. Plus la période est longue, plus le temps de traitement sera important.

Conseils pour définir votre période :

Section intitulée « Conseils pour définir votre période : »
  • Commencez par une période courte pour tester votre requête
  • Élargissez progressivement si nécessaire
  • Tenez compte des politiques de rétention de votre organisation

Considérations de Performance

Section intitulée « Considérations de Performance »

Temps de traitement

Section intitulée « Temps de traitement »

Les recherches à froid prennent plus de temps que les recherches à chaud car elles accèdent à des données archivées. Le temps de traitement dépend de :

  • La taille de la période analysée
  • Le nombre d’emplacements inclus
  • La complexité des filtres appliqués
  • Le volume total de données archivées

Optimisation des requêtes

Section intitulée « Optimisation des requêtes »

Pour améliorer les performances :

  1. Limitez la période : Recherchez la période la plus courte possible
  2. Sélectionnez des emplacements spécifiques : Évitez de rechercher dans tous les emplacements si possible
  3. Utilisez des filtres précis : Des critères de recherche spécifiques réduisent le volume de données à traiter
  4. Planifiez les recherches volumineuses : Effectuez les analyses importantes pendant les heures creuses

Implications de Coût

Section intitulée « Implications de Coût »

Les recherches à froid peuvent entraîner des coûts supplémentaires car elles accèdent au stockage à long terme. Consultez votre administrateur pour comprendre :

  • Les politiques de coût de votre organisation
  • Les limites de recherche éventuelles
  • Les meilleures pratiques recommandées

Bonnes Pratiques

Section intitulée « Bonnes Pratiques »

1. Planification

Section intitulée « 1. Planification »
  • Définissez clairement l’objectif de votre recherche avant de commencer
  • Identifiez la période minimale nécessaire
  • Listez les emplacements pertinents

2. Exécution

Section intitulée « 2. Exécution »
  • Testez d’abord avec une période courte
  • Documentez vos critères de recherche
  • Conservez les résultats importants

3. Conformité et Audit

Section intitulée « 3. Conformité et Audit »

La recherche à froid est particulièrement utile pour :

  • Les audits de sécurité
  • Les enquêtes sur incidents passés
  • La conformité réglementaire
  • L’analyse de tendances historiques

Résultats de Recherche

Section intitulée « Résultats de Recherche »

Les résultats d’une recherche à froid incluent :

  • Identifiant de recherche (search_id) : Référence unique de votre requête
  • Requête (query) : Les critères de recherche utilisés
  • Type de recherche (search_type) : Confirmation qu’il s’agit d’une recherche à froid
  • Correspondances totales (total_matches) : Nombre total de journaux correspondants
  • Correspondances retournées (matches_returned) : Nombre de résultats dans la réponse actuelle

Cas d’Usage Courants

Section intitulée « Cas d’Usage Courants »

Investigation de Sécurité

Section intitulée « Investigation de Sécurité »

Analysez les journaux historiques pour identifier des patterns d’activité suspecte sur plusieurs mois.

Conformité Réglementaire

Section intitulée « Conformité Réglementaire »

Récupérez les journaux d’une période spécifique pour répondre aux exigences d’audit.

Analyse de Tendances

Section intitulée « Analyse de Tendances »

Étudiez l’évolution des événements sur de longues périodes pour identifier des tendances.

Résolution de Problèmes

Section intitulée « Résolution de Problèmes »

Recherchez des incidents passés pour comprendre leur origine et prévenir leur récurrence.

Limitations

Section intitulée « Limitations »
  • Les recherches à froid ne sont pas en temps réel
  • Le temps de traitement augmente avec la taille de la période
  • Certaines fonctionnalités peuvent nécessiter un abonnement premium
  • Les données archivées dépendent de vos politiques de rétention

Ressources Complémentaires

Section intitulée « Ressources Complémentaires »

Pour plus d’informations, consultez :

  • Recherche à Chaud : Pour analyser les journaux récents
  • Gestion des Archives : Pour configurer vos politiques de rétention
  • Statistiques d’Emplacement : Pour visualiser l’utilisation du stockage

Note : Les fonctionnalités disponibles peuvent varier selon votre abonnement et les permissions de votre organisation.