一��、Windows日志收集與分析
在運維工作過程中��,如若windows服務器被入侵���,往往需要檢索和分析相應的安全日志���。除了安全設備,系統(tǒng)自帶的日志就是取證的關鍵材料��,但是此類日志數(shù)量龐大�,需要高效分析windows安全日志,提取出我們想要的有用信息��,就顯得尤為關鍵��。
Windows日志概述
windows日志記錄著Windows系統(tǒng)中硬件����、軟件和系統(tǒng)問題的信息����,同時還可以監(jiān)視系統(tǒng)中發(fā)生的事件���,掌握計算機在特定時間的狀態(tài)�,以及了解用戶的各種操作行為����,為應急響應提供很多關鍵的信息�����。
Windows主要有以下三類日志記錄系統(tǒng)事件:應用程序日志����、系統(tǒng)日志和安全日志。
應用程序日志
包含由應用程序或系統(tǒng)程序記錄的事件��,主要記錄程序運行方面的事件��,例如數(shù)據(jù)庫程序可以在應用程序日志中記錄文件錯誤�,程序開發(fā)人員可以自行決定監(jiān)視哪些事件。如果某個應用程序出現(xiàn)崩潰情況�����,那么我們可以從程序事件日志中找到相應的記錄,也許會有助于你解決問題�����。
日志的默認位置為:C:WindowsSystem32winevtLogsApplication.evtx
系統(tǒng)日志
Windows系統(tǒng)組件產(chǎn)生的事件�����,主要包括驅動程序����、系統(tǒng)組件、應用程序錯誤消息等����。
日志的默認位置為:C:WindowsSystem32winevtLogsSystem.evtx
安全日志
主要記錄系統(tǒng)的安全信息,包括成功的登錄��、退出��,不成功的登錄�����,系統(tǒng)文件的創(chuàng)建、刪除�、更改,需要指明的是安全日志只有系統(tǒng)管理員才可以訪問���,這也體現(xiàn)了在大型系統(tǒng)中安全的重要性�����。
日志的默認位置為:C:WindowsSystem32winevtLogsSecurity.evtx
查看系統(tǒng)日志
事件日志分析—事件類型
Windows事件日志文件本質上是數(shù)據(jù)庫���,其中包括有關系統(tǒng)、安全����、應用程序的記錄���。記錄的事件包含9個元素:日期/時間����、事件類型�����、用戶、計算機����、事件ID、來源��、類別����、描述、數(shù)據(jù)等信息�����。
信息:信息事件指應用程序���、驅動程序或服務的成功操作的事件��。
錯誤:錯誤事件指用戶應該知道的重要的問題���。錯誤事件通常指功能和數(shù)據(jù)的丟失。
警告:警告事件指不是直接的�����、主要的,但是會導致將來問題發(fā)生的問題�����。
失敗審核:失敗的審核安全登錄嘗試�����,例如用戶試圖訪問網(wǎng)絡驅動器失敗��,則該嘗試會被作為失敗審核事件記錄下來���。
事件日志分析—登陸類型
登錄類型 | 描述 | 說明 |
2 | 交互式登錄 | 用戶在本地進行登錄 |
3 | 網(wǎng)絡 | 最常見的情況就是連接到共享文件夾或者共享打印機 |
4 | 批處理 | 通常表明某個計劃任務啟動 |
5 | 服務 | 每種服務都被配置在某個特定的用戶賬號下運行 |
7 | 解鎖 | 屏保解鎖 |
8 | 網(wǎng)絡明文 | 登錄的密碼在網(wǎng)絡上通過明文傳輸?shù)�����,如FTP |
9 | 新憑證 | 使用帶/Netonly參數(shù)的RUNAS命令運行一個程序 |
10 | 遠程交互 | 通過終端服務、遠程桌面或遠程協(xié)助訪問計算機 |
11 | 緩存交互 | 以一個域用戶登錄而又沒有域控制器可用 |
事件日志分析—事件ID
事件ID | 說明 |
4624 | 登錄成功 |
4625 | 登錄失敗 |
4634 | 注銷成功 |
4647 | 用戶啟動的注銷 |
4672 | 使用超級用戶(如管理員)進行登錄 |
4720 | 創(chuàng)建用戶 |
6005 | 表示計算機日志服務已啟動���,如果在事件查看器中發(fā)現(xiàn)某日的事件ID號為6005��,就說明這天正常啟動了windows系統(tǒng)�����。 |
6006 | 表示事件日志服務已停止���,如果沒有在事件查看器中發(fā)現(xiàn)某日的事件ID為6006的事件����,就表示計算機在這天沒關機或沒有正常關機 |
二��、Linux日志收集與分析
Linux系統(tǒng)日志的重要性無需多言���,日志對管理員來說�����,是了解系統(tǒng)運行的主要途徑��,因此需要對 Linux 日志系統(tǒng)有個詳細的了解�。
Linux 系統(tǒng)內(nèi)核和許多程序會產(chǎn)生各種錯誤信息�����、告警信息和其他的提示信息����,這些各種信息都應該記錄到日志文件中�,完成這個過程的程序就是 rsyslog�����,rsyslog 可以根據(jù)日志的類別和優(yōu)先級將日志保存到不同的文件中���。
Linux操作系統(tǒng)日志概述
大部分Linux發(fā)行版默認的日志守護進程為syslog��,位于“/etc/syslog”或者“/etc/syslogd”����,默認配置文件為“/etc/syslog.conf”�,任何希望生成日志的程序都可以向syslog發(fā)送信息。
Linux系統(tǒng)內(nèi)核和許多程序都會產(chǎn)生各種錯誤信息��、警告信息和其他提示信息都會被寫在日志文件中�,完成這個過程的程序就是syslog,syslog可以根據(jù)日志的類別和優(yōu)先級將日志保存到不同的文件中���,數(shù)字級別越小,其優(yōu)先級別越高��,消息也越重要��。
查看日志
日志默認存放位置
查看日志配置情況
日志分析—連接符號
連接符號 | 說明 |
* | 代表所有日志等級,比如:“authpriv.*"代表authpriv認證信息服務產(chǎn)生的日志�����,所有的日志等級都記錄���。 |
. | 代表只要比后面的等級高的(包含該等級)日志都記錄下來����。比如:"cron.info"代表cron服務產(chǎn)生的日志�����,只要日志等級大于等于info級別���,就記錄����。 |
.= | 代表只記錄所需等級的日志�����,其他等級的都不記錄。比如:"*.=emerg"代表任何日志服務產(chǎn)生的日志��,只要等級是emerg等級就記錄��。這種用法及少見�����,了解就好��。 |
.! | 代表不等于���,也就是除了該等級的日志外�,其他等級的日志都記錄�。 |
日志分析—日志優(yōu)先級
級別 | 等級名稱 | 說明 |
0 | EMERG(緊急) | 導致主機系統(tǒng)不可用 |
1 | ALERT(警告) | 必須馬上采取措施解決問題 |
2 | CRIT(嚴重) | 比較嚴重的情況 |
3 | ERR(錯誤) | 運行出現(xiàn)錯誤 |
4 | WARNING(提醒) | 可能影響系統(tǒng)功能,是需要提醒用戶的重要事件 |
5 | NOTICE(注意) | 不會影響正常功能�����,但是需要注意的事件 |
6 | INFO(信息) | 一般信息 |
7 | DEBUG(調試) | 程序或系統(tǒng)的調試信息 |
日志分析—Linux系統(tǒng)中常見的日志文件說明
日志文件 | 說明 |
/var/log/cron | 記錄了系統(tǒng)定時任務相關的日志 |
/var/log/dmesg | 記錄了系統(tǒng)在開機時內(nèi)核自檢的信息�,也可以使用dmesg命令直接查看內(nèi)核自檢信息 |
/var/log/message | 記錄系統(tǒng)重要信息的日志。這個日志文件中會記錄Linux系統(tǒng)的絕大多數(shù)重要信息�,如果系統(tǒng)出現(xiàn)問題時,首先要檢查的就應該是這個日志文件�����,但由于記錄的信息太雜��,一般不查看 |
/var/log/btmp | 記錄錯誤登錄日志����,這個文件是二進制文件,不能直接vi查看�����,而要使用lastb命令查看 |
/var/log/lastlog | 記錄系統(tǒng)中所有用戶最后一次登錄時間的日志�����,這個文件是二進制文件�����,不能直接vi�����,而要使用lastlog命令查看 |
/var/log/wtmp | 永久記錄所有用戶的登錄����、注銷信息�,同時記錄系統(tǒng)的啟動���、重啟�����、關機事件�。同樣這個文件也是一個二進制文件�����,不能直接vi��,而需要使用last命令來查看 |
/var/log/utmp | 記錄當前已經(jīng)登錄的用戶信息�����,這個文件會隨著用戶的登錄和注銷不斷變化�����,只記錄當前登錄用戶的信息�����。同樣這個文件不能直接vi,而要使用w,who,users等命令來查詢 |
/var/log/secure | 記錄驗證和授權方面的信息�,只要涉及賬號和密碼的程序都會記錄,比如SSH登錄����,su切換用戶�,sudo授權,甚至添加用戶和修改用戶密碼都會記錄在這個日志文件中 |
日志分析技巧
常用的shell命令:
find命令:在目錄中查找指定文件
grep命令:在文件中搜尋匹配的行并輸出
awk命令:查找文本���,輸出匹配的內(nèi)容
sort命令:對文件進行排序
wc命令:統(tǒng)計
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
