蓝队攻防|系统日志审计

admin 2021年10月28日02:19:32评论205 views字数 1074阅读3分34秒阅读模式

通过日志,可以分析出各种网络可疑行为、违规操作、敏感信息,协助定位安全事件源头和调查取证,防范和发现计 算机网络犯罪活动。


系统日志分析分为两个部分介绍:Windows日志分析和linux日志分析


Windows日志分析

如果windows服务器被入侵,往往需要检索和分析相应的安全日志

除了安全设备,系统自带的日志就是取证的关键材料,但是此类日志数量庞大,需要高效分析windows安全日志

Windows日志种类

在 windows 系统的运行过程中会不断记录日志信息,可以分为以下几种日志类型:

蓝队攻防|系统日志审计

Windows事件日志

介绍

Windows事件日志文件实际上是以特定的数据结构的方式存储内容,其中包括有关系统,安全,应用程序的记录

每个记录事件的数据结构中包含了9个元素(可以理解成数据库中的字段):日期/时间、事件类型、用户、计算机、 事件ID、来源、类别、描述、数据等信息

查看日志的方法:开始  运行,输入 eventvwr.msc 打开事件查看器,查看日志

蓝队攻防|系统日志审计


蓝队攻防|系统日志审计


事件查看器

可以看到,事件查看器将日志分成了两大类,windows日志、应用程序日志和服务日志

windows日志中又有应用程序、安全、setup、系统和forworded event这几种事件类型

蓝队攻防|系统日志审计


事件类型:分为4种,分别为 "应用程序日志" 、"系统日志" 、"安全日志" 和 "转发事件" ,前三个为核心日志文件

应用程序日志

包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件

例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件

如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于问题的解决

日志默认位置: %SystemRoot%System32WinevtLogsApplication.evtx

蓝队攻防|系统日志审计


系统日志

记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等

系统日志中记录的时间类型由Windows NT/2000操作系统预先定义

日志默认位置: %SystemRoot%System32WinevtLogsSystem.evtx

蓝队攻防|系统日志审计


安全日志

包含安全性相关的事件,如用户权限变更,登录及注销,文件及文件夹访问,打印等信息

日志默认位置: %SystemRoot%System32WinevtLogsSecurity.evtx

蓝队攻防|系统日志审计


蓝队攻防|系统日志审计


蓝队攻防|系统日志审计


蓝队攻防|系统日志审计


蓝队攻防|系统日志审计


蓝队攻防|系统日志审计


蓝队攻防|系统日志审计


蓝队攻防|系统日志审计


蓝队攻防|系统日志审计


蓝队攻防|系统日志审计


蓝队攻防|系统日志审计


蓝队攻防|系统日志审计


蓝队攻防|系统日志审计


蓝队攻防|系统日志审计


蓝队攻防|系统日志审计


蓝队攻防|系统日志审计


蓝队攻防|系统日志审计


蓝队攻防|系统日志审计


Linux日志分析

蓝队攻防|系统日志审计


蓝队攻防|系统日志审计


蓝队攻防|系统日志审计


蓝队攻防|系统日志审计


蓝队攻防|系统日志审计


蓝队攻防|系统日志审计


蓝队攻防|系统日志审计


蓝队攻防|系统日志审计


蓝队攻防|系统日志审计


蓝队攻防|系统日志审计


蓝队攻防|系统日志审计


蓝队攻防|系统日志审计


蓝队攻防|系统日志审计


蓝队攻防|系统日志审计



每日坚持分享好工具好资源,麻烦各位师傅文章底部给点个“再看”,感激不尽蓝队攻防|系统日志审计

欢迎关注 系统安全运维 

觉得不错点个“赞”、“在看”哦蓝队攻防|系统日志审计

本文始发于微信公众号(系统安全运维):蓝队攻防|系统日志审计

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年10月28日02:19:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   蓝队攻防|系统日志审计http://cn-sec.com/archives/459199.html

发表评论

匿名网友 填写信息