安全日志介绍及分析(上)

  • A+
所属分类:安全闲碎

安全日志记录了用户的各种行为,通过分析安全日志可得到攻击者入侵入侵轨迹。本文主要介绍安全日志的种类、结构,以及如何去分析这些日志,会以windows安全日志、linux安全日志、中间件安全日志、安全设备安全日志为例去介绍安全日志。

windows安全日志及分析

Windows安全日志存储在C:WindowsSystem32winevtLogs,该目录下存在许多evtx日志文件,windows安全日志文件主要记录在Security.etvx中,双击即可打开该文件查看windows安全日志。

安全日志介绍及分析(上)

通过win+r键调出运行界面后,在界面中执行eventvwr,可打开windows日志管理器,选择安全项即可查看windows系统安全日志。

安全日志介绍及分析(上)

安全日志介绍及分析(上)

每条安全日志由以下结构组成:关键字—一般有审核成功和审核失败、日期和事件—记录该事件发生的时间、事件ID—一般关注4624(登录成功)和4625(登录失败)。

安全日志介绍及分析(上)

调用进程名—一般关注winlogon.exe、登录源地址、登录源端口

安全日志介绍及分析(上)

登录所使用的用户名、登录失败信息。

安全日志介绍及分析(上)

windows安全日志的常用分析思路一般检查是否有异常登录成功和RDP暴力破解事件,windows登录失败事件ID为4625,所以分析日志时可查看日志中是否有大量关键字为审核失败且事件ID为4625的ID。

安全日志介绍及分析(上)

然后通过筛选当前日志,筛选出审核成功的事件,观察是否有在暴力破解时间点附近的异常登录成功事件,windows登录成功事件ID为4624,故观察在大量的事件ID为4625事件后是否存在事件ID为4624的安全事件,如存在,攻击者可能通过暴力破解成功登录了该台服务器,之后需通过日志中的源IP去溯源是什么机器入侵了该台服务器。

安全日志介绍及分析(上)

安全日志介绍及分析(上)

linux安全日志及其分析

linux安全日志主要有:登录失败日志、登录成功日志、当前登录用户日志、操作命令日志。登录失败日志一般存储在/var/log/secure.log,该日志文件中记录了登录失败日志及其他登录信息,使用cat secure.log  | grep ssh命令可查看登录失败日志。

安全日志介绍及分析(上)

登录成功日志使用last命令查看,可以看到所有成功登录过的用户、登录时间及登录源IP,该日志可结合登录失败日志分析是否存在被暴力破解成功登录事件。

安全日志介绍及分析(上)

当前登录用户日志使用who命令查看,可以查看到当前登录进系统的用户以及登录起始时间。

安全日志介绍及分析(上)

操作命令日志使用history命令或者查看.bash_history文件,如攻击者成功入侵该台服务器,该日志文件中可能存在攻击者成功登录后所使用的系统命令。

安全日志介绍及分析(上)

linux安全日志分析思路与windows安全日志分析思路类似,通过登录失败日志、登录成功日志查看是否有大量暴破事件及异常登录成功事件,如有,通过操作命令日志查看异常登录成功用户的命令日志文件中是否有外连或下载恶意程序命令,如存在外连或下载恶意程序命令,则需及时阻断该连接或对服务器进行恶意程序排查处理。



原文来源:第59号

安全日志介绍及分析(上)

本文始发于微信公众号(关键基础设施安全应急响应中心):安全日志介绍及分析(上)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: