背景描述

日志文件和日志分析工具是取证人员最好的武器之一

因为日志文件记录着整个系统的历史操作，这非常有利于取证人员分析用户的行为，进而能够找出证明真相的讯息

一般来说，日志文件记录着所有系统事件、用户行为和系统错误等信息

> 起初，日志文件通常被当作定位系统错误、调试系统的重要源

> 现在，日志文件越来越具有取证价值，在取证期间经常被用来还原犯罪行为和时间线

例如：

系统日志文件会记录下用户的登录和退出讯息，我们可以根据登录和退出的时间戳来锁定犯罪的时间区间

防火墙拥有ACL访问控制列表，其日志文件会记录下允许访问和拒绝访问的讯息，我们可以根据日志信息来判断那些用户存在着可疑行为

基本原理

日志的生成

在软件或程序中，通过编程语言自带的日志功能函数，将事件的状态或者可能发生的异常情况以字符串的形式输入到对应的日志文件中

多数的日志文件都可以以文本形式进行阅读和编写

过滤和标准化

在生成日志之后，过滤和标准化就显得格外重要了

> 过滤指的是决定是否保留该条日志讯息，其保留依据主要由取证需求决定

> 标准化指的是将一些格式较为突出的日志讯息修正成一般形式

Windows日志

参照一张通过网络获得的Windows7的日志，描述得很清楚

小型网络中的日志

在一般的小型网络中，会有一台日志服务器，专门用于存放网络中其他设备发来的日志文件

小型网络架构

大型网络中的日志

但是大型网络一般不采用这种较为简单的架构，而采用稍微复杂但稳定的日志代理架构

解释起来就是每个网段都拥有自己的日志收集器，收集器收集同一网段中其他设备的日志讯息，然后把它转发给日志中心服务器

大型网络架构

取证工具简介

整体查看

在Linux平台下，我们可以利用系统自带的工具进行日志查看，比如我们在终端输入cat命令就可以查看.txt的内容

关键字查看

我们还可以用grep命令查看关键字所在行的内容，利用|分隔符进行重定向，将cat命令输出的内容作为grep查找命令的输入

字符串分割

我们还可以通过cut命令进行字符串分割，并且通过-d和-f参数指定我们希望看到的字段内容

取证实践

常用的Web服务器有GNU下的Apache和微软的IIS

Web服务器每秒钟的日志量较大，静态分析日志不太方便，可以借助一些分析工具简化我们的工作

拿Apache举例，一般来说日志文件存放在/var/www/apache2/logs目录下，日志内容客户端和服务器端的相关讯息，比如IP地址

客户端的日志讯息

日志先记录下客户端讯息，10.100.5.170是客户端的IP地址

[16/Oct…]是客户端访问服务器的时间戳

“GET /application…”是客户端发来的请求

随即的200是服务器端根据请求生成的状态码，200表示服务器端成功响应客户端

898表示请求的大小

服务器端的信息

紧接着的http://10.100.0.28/是Web服务器的IP地址

“Mozilla/…”指的是用户代理或者客户端的浏览器版本讯息

后续

掌握基本的日志分析法之后，可以分析一些简单的跨站脚本注入攻击

一般xss都包含在<script>标记中，所以我们可以通过关键字查询

这样我们就定位出攻击方为192.168.1.2以及它的恶意请求

部分网络资源

Linux系统中五款好用的日志分析工具

> "Linux_华仔"在其文章中针对很多开源日志跟踪器和分析工具可供使用，推荐了五个作者使用过的最好的工具：Graylog、Nagios、Elastic Stack (ELK Stack)、LOGalyze、Fluentd。长按以下二维码，识别之后进一步了解

五款好用的日志分析工具

注：《通用数据保护条例》（General Data Protection Regulation，简称GDPR）为欧洲联盟的条例，作者误写为GFPR了，小问题，不影响大局^_^

可能是最好用的日志分析工具

> "Jacks Gong"在其文章中说，之前一直在用PID Cat为ADB输出的Logcat进行分析，在网上谷歌了一圈没有找到自己想要的工具，最后选择自己写一个：okcat。长按以下二维码，识别之后进一步了解

最好用的日志分析工具

> 作者将okcat开源了。长按以下二维码，识别之后进一步了解

okcat

Windows日志分析工具

> "康小泡"在其文章中说，通过对Windows系统日志进行分析，快速定位系统在什么时间被黑客登录过，并给出了较为详细的过程。长按以下二维码，识别之后进一步了解

Windows日志分析工具

推荐 | 10个好用的Web日志安全分析工具

> "Bypass"在其文章中说，一款简单好用的Web日志分析工具，可以大大提升效率，目前业内日志分析工具比较多，今天推荐十个比较好用的Web日志安全分析工具：360星图、LogForensics、GoAccess、AWStats、Logstalgia、FinderWeb、web-log-parser、ELK、Splunk、IBM QRadar。长按以下二维码，识别之后进一步了解

10个好用的Web日志安全分析工具

网络管理员必备的10个优秀日志分析工具

> "刀首木"在其文章中分享了10个日志分析工具：SolarWinds Log & Event Manager、PRTG Network Monitor、Papertrail、Splunk、XpoLog、ManageEngine EventLog Analyzer、LOGalyze、Datadog、EventTracker、LogDNA。长按以下二维码，识别之后进一步了解

10个优秀日志分析工具

LOG日志溯源取证总结

> "Hookjoy"在其文章中针对Windows操作系统事件日志、Linux操作系统事件日志d额取证进行了总结。长按以下二维码，识别之后进一步了解

日志溯源取证总结

其他可供阅读的部分文献

> 继续留作业（其实是偷懒），Github资源及中国期刊网等参考资源，感兴趣的小伙伴们可以自行寻找^_^

后记

本文参考了部分网络资源，在此，一并致谢！

历史回顾（链接）：

    > 话题：基本概念

    > 话题：取证基础

    > 话题：法律规制

    > 话题：取证技术

    > 话题：原则流程

    > 话题：主机取证

---

来源：数字取证文摘，作者：万洪杰

原文始发于微信公众号（电子物证）：【日志取证】