應急響應 作業系統日誌分析

2021-10-14 13:53:48 字數 3676 閱讀 9424

windows日誌記錄著windows系統中硬體、軟體和系統問題的資訊,同時還可以監視系統中發生的事件,掌握計算機在特定時間的狀態,以及了解使用者的各種操作行為,為應急響應提供很多關鍵的資訊。

windows日誌檔案本質上是資料庫,其中包含有關系統、安全、應用程式的記錄。記錄的事件包含九個元素:日期/事件、事件級別、使用者、計算機、事件id、**、任務類別、描述和資料資訊。所有事件屬於事件級別中的一類,具體的事件級別如下:

windows 日誌事件解析

常見的事件id對應關係
事件id

說明4624

登入成功

4625

登陸失敗

4634

登出成功

4647

使用者啟動的登出

4672

使用超級使用者(如管理員)進行登入

4720

建立使用者

每個成功登入的事件都會標記乙個登入型別,不同登入型別代表不同的方式。常見登入型別對應關係
登入型別

描述說明

2互動式登入

使用者在本地進行登入3網路

最常見的情況就是連線到共享資料夾或者共享印表機

4批處理

通常表明某個計畫任務啟動5服務

每種服務都被配置在某個特定的使用者賬號下執行7解鎖

屏保解鎖

8網路明文

登入的密碼在網路上通過明文傳輸的,如ftp

9新憑證

使用帶/netonly引數的runas命令執行乙個程式

10遠端互動

通過終端服務、遠端桌面或遠端協助訪問計算機

11快取互動

以乙個域使用者登入而又沒有與空氣可用

在進行日誌分析的時候,可使用windows自帶的事件檢視器對日誌進行篩選。


開啟事件檢視器的方式:1. 計算機-管理-事件檢視器 2. win+r輸入eventvwr 3. 控制面板-管理工具-事件檢視器


通過事件檢視器的篩選日誌功能可以輸入事件id來檢視指定類別的日誌


windows日誌分析思路


對windows日誌進行排查,首先檢視是否建立了使用者,然後檢視該使用者是否成功登陸,再次檢視使用者什麼時間登出,基於這個時間段,排查系統日誌,檢視安裝了哪些應用程式。


windows日誌分析工具


log parser lizard是一款強大的gui圖形介面版的日誌分析工具,除了能夠分析windows事件日誌外,也能分析iis的w3c日誌,同時還支撐tsv/csv/text檔案、active directory、登錄檔、google bigquery、mysql、sql server等。


安裝該軟體同時需要安裝log parser 2.2,同時該軟體執行需要.net framework(具體需要哪個版本,在執行log parser lizard時會給出提示)


登入成功的使用者名稱和ip位址在strings和messages中都有,在任意乙個列中查詢都可以,extract_token(列數,字段數,分隔符) as 別名。


messages中的詳細內容記錄了已經成功登入賬戶的資訊,其中主要內容包括:


大部分linux發行版預設的日誌守護程序為syslog,位於「/etc/syslog」或者「/etc/syslogd」,預設配置檔案為「/etc/syslog.conf」,任何希望生成日誌的程式都可以向syslog傳送資訊。fedora、ubuntu、rhel6、centos 6以上版本預設的日誌系統都是rsyslog的,rsyslog是syslog的多執行緒增強版,配置檔案為「/etc/rsyslog.conf」。


linux系統核心和許多程式都會產生各種錯誤資訊、警告資訊和其他提示資訊都會被寫在日誌檔案中,完成這個過程的程式就是syslog,syslog可以根據日誌的類別和優先順序將日誌儲存到不同的檔案中,數字級別越小,其優先級別越高,訊息也越重要。


日誌優先順序級別


英文中文釋義說明0


emerg


緊急導致主機系統不可用


1alert


警告必須馬上採取措施解決問題


2crit


嚴重比較嚴重的情況


3err


錯誤執行出現錯誤


4warning


提醒可能影響系統功能,是需要提醒使用者的重要事件


5notice


注意不會影響正常功能,但是需要注意的事件


6info


資訊一般資訊


7debug


除錯程式或系統的除錯資訊


linux系統中常見的日誌檔案說明


日誌檔案


說明/var/log/cron


記錄系統定時任務的相關日誌


/var/log/cups


記錄列印資訊的日誌


/var/log/dmesg


記錄系統在開機時核心自檢的資訊,也可以使用dmesg命令直接檢視


/var/log/mailog


記錄郵件資訊


/var/log/message


記錄linux系統中絕大多數的重要資訊,在系統出現問題時,首先要檢查的就是這個日誌檔案


/var/log/btmp


記錄錯誤登入日誌。這個檔案是二進位制的,不能直接用vi命令檢視,而是使用lastb命令


/var/log/lastlog


記錄系統中所有使用者最後一次登入時間的日誌,這個檔案是二進位制的,使用lastb檢視


/var/log/wtmp


永久記錄所有使用者的登入、登出資訊,同時記錄系統的啟動、重啟、關機事件。二進位制檔案,使用lastb檢視


/var/run/utmp


記錄當前已經登入的使用者資訊,會隨著使用者的登入和登出不斷變化,只記錄當前登入使用者的資訊,這個檔案不能直接用vi命令檢視,使用w、who、users等命令


/var/log/secure


記錄驗證和授權方面的資訊,只要涉及賬號和密碼的程式都會被記錄,如ssh登入、su切換使用者、sudo授權,以及新增使用者和修改使用者密碼都會記錄在這個日誌檔案中


軟體安裝日誌


例如「/var/log/yum.log」或「/var/log/yum.log-時間」中會顯示yum安裝的日誌;「/root/install.log」中儲存了安裝在系統中的軟體包及其版本資訊;「/root/install.log.syslog」中儲存了安裝流程中留下的事件記錄


linux重要日誌檔案的解析


在應急響應日誌排查中,需要重點分析的日誌有「/var/run/utmp」、「/var/log/lastlog」、「/var/log/wtmp」、「/var/log/btmp」和「/var/log/secure」及軟體安裝日誌等


linux作業系統中需要借助shell命令對安全日誌進行分析。


				
應急響應  web日誌分析
http協議 http報文格式解析 http請求方法 http狀態碼 web日誌格式解析 iis 中介軟體日誌 apache 中介軟體日誌 tomcat 中介軟體日誌 weblogic 中介軟體日誌 nginx 中介軟體日誌 web日誌分析方法 windows作業系統 利用notepad 進行分析 ...

				
Linux作業系統管理  日誌管理和分析
水平集 日誌管理 這部分包括一些開源技術,這些技術基本上是針對基於主機的日誌記載,日誌檔案轉儲和日誌檔案分析。很多任務具都是免費的 開源軟體,在很多主要的linux系統中都有整合,包括主流的rethat和novell。logrotate logrotate是在大量linux系統中非常流行的應用程式工...

				
Linux作業系統日誌的介紹
系統的那些訊息以及應該記錄在那些檔案,或如何顯示,是由 etc syslog.conf 來控制的。以下是 redhat 的 var log 目錄中一些重要的記錄檔案的說明。1.var log lastlog 記錄每個使用者最近簽入系統的時間,因此當使用者籤入時,就會顯示其上次簽入的時間,您應該注意一...