通过日志,可以分析出各种网络可疑行为、违规操作、敏感信息,协助定位安全事件源头和调查取证,防范和发现计 算机网络犯罪活动。
系统日志分析分为两个部分介绍:Windows日志分析和linux日志分析
Windows日志分析
如果windows服务器被入侵,往往需要检索和分析相应的安全日志
除了安全设备,系统自带的日志就是取证的关键材料,但是此类日志数量庞大,需要高效分析windows安全日志
Windows日志种类
在 windows 系统的运行过程中会不断记录日志信息,可以分为以下几种日志类型:
Windows事件日志
介绍
Windows事件日志文件实际上是以特定的数据结构的方式存储内容,其中包括有关系统,安全,应用程序的记录
每个记录事件的数据结构中包含了9个元素(可以理解成数据库中的字段):日期/时间、事件类型、用户、计算机、 事件ID、来源、类别、描述、数据等信息
查看日志的方法:开始 运行,输入 eventvwr.msc 打开事件查看器,查看日志
事件查看器
可以看到,事件查看器将日志分成了两大类,windows日志、应用程序日志和服务日志
windows日志中又有应用程序、安全、setup、系统和forworded event这几种事件类型
事件类型:分为4种,分别为 "应用程序日志" 、"系统日志" 、"安全日志" 和 "转发事件" ,前三个为核心日志文件
应用程序日志
包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件
例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件
如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于问题的解决
日志默认位置: %SystemRoot%System32WinevtLogsApplication.evtx
系统日志
记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等
系统日志中记录的时间类型由Windows NT/2000操作系统预先定义
日志默认位置: %SystemRoot%System32WinevtLogsSystem.evtx
安全日志
包含安全性相关的事件,如用户权限变更,登录及注销,文件及文件夹访问,打印等信息
日志默认位置: %SystemRoot%System32WinevtLogsSecurity.evtx
Linux日志分析
每日坚持分享好工具好资源,麻烦各位师傅文章底部给点个“再看”,感激不尽
欢迎关注 系统安全运维
觉得不错点个“赞”、“在看”哦
本文始发于微信公众号(系统安全运维):蓝队攻防|系统日志审计
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论