文章目录
- I. Windows 事件查看器
- 二、Linux日志
- 三、Web日志
- 三.1. IIS的中间值日志
- 三.2. 阿帕契中间体的日志
- 三.3. 中间Tomcat日志
- 3.4、Weblogic
- 3.5. Nginx中间日志
I. Windows 事件查看器
Windows日志记录Windows的硬件、软件和系统问题,并记录Windows的硬件、软件和系统问题,以及能够监测系统事件、机器在任何时刻的状况以及了解用户活动的情况,例如系统、安全和应用程序的记录。
日志文件往往在 Windows 之后分离。系统事件( SysEvent )、 应用程序事件( AppEvent ) 和安全事件( secEvent) 日志3种:
系统日志:
Vista/Win7/Win8/Win8/Win10/Win10/Server 2008/Server 2012的默认位置是:C:WINDOWSsystem32winevtLogsSystem.evtx
应用程序日志:
包含由应用程序或系统程序记录的事件,并记录大部分与程序执行相关的事件。 Vista/Win7/Win8/Win8/Win10/Server 2008/Server 2012 中的默认位置是 :C:WINDOWSsystem32winevtLogsApplication.evtx
安全日志:
该系统记录安保审计事件。日志条目种类包括对象存取日志、流程跟踪日志、特许使用、账户管理、战略变革和系统事件。Vista/Win7/Win8/Win8/Win10/2008年服务员/服务员C:WINDOWSsystem32winevtL .ogsSecurity.evtx安全日志是应急反应中关注的焦点,系统和应用日志可以据此进行检查。
日志文件中的每个事件都只有一个。事件级别以下是不同层次的活动:
1. 申请、驱动程序或服务的成功运行事件称为信息活动。
警告事件:这些事件不是直接发生的,也不是实质性的,但可能导致未来的困难。例如,如果磁盘空间不足或找不到打印机,就会记录警告事件。
3. 错误:是指用户应当知道的关键问题,往往是功能和数据丢失,当服务无法作为系统指南装入时,就会发生错误。
4- 成功审计:成功审计了安全准入尝试。大多数是安全日志。用户登录/注销、目标访问、特许使用、账户管理、政策修改、全面跟踪、目录服务访问、账户登录等等,例如这些例子。所有成功登录的系统都标记为“ 成功审计” 。
5 审计失败:如果用户试图访问网络磁盘失败,则作为审计失败事件登录。
各种事件(非法身份识别)反映了不同的含义,下表描述了一些频繁发生的安全事件(非法身份识别)反映了不同的含义,下表描述了一些频繁发生的安全事件。
| 事件ID | 说明 |
|---|---|
| 4624 | 登录成功 |
| 4625 | 登录失败 |
| 4634 | 注销成功 |
| 4647 | 用户启动的注销 |
| 4672 | 利用超级用户(例如管理员)进入 |
| 4720 | 创建用户 |
每个成功登录的事件将贴上登录类型标签,不同登录类型标明不同方法,如下表所示:
| 登录类型 | 描述 | 说明 |
|---|---|---|
| 2 | 互动 | 用户在本地进行登录 |
| 3 | 网络网网 | 最典型的连接是共享文件或共享打印机。 |
| 4 | 批次批次 | 通常是指开始计划进行的远征。 |
| 5 | 服务处 | 每项服务都设置在一个不同的用户账户下运作。 |
| 7 | 解锁 | 屏保解锁 |
| 8 | 清除网络网络 | 登录证书通过FTP等网络明确广播。 |
| 9 | 增加了信贷。 | 以 RUNAS 命令和 Net only 参数启动一个程序 。 |
| 10 | 遥控互动 | 终端服务、远程桌面和远程帮助提供计算机接入。 |
| 11 | 交互式快藏 | 如果没有可用的域控制器, 登录为域名用户 。 |
Windows 日志分析的想法在恐怖分子攻击系统之后操作系统可添加一个用户 。远程登录后,将安装几匹木马。在现阶段,我们检查一下用户是否已经创建。这是用户第一次登入,然后确定用户是否登入。检查用户再次注销的时间 。基于这个时间段,排查系统日志,检查是否安装了程序 。在事件查看器中,您可以搜索特定事件编号。然后对攻击者的行为进行评估。
二、Linux日志
Linux当前版本的日志系统是 Rsyslog, 这是一个多倍增强的系统系统, 包括配置信息 。/etc/rsyslog.conf。
博客主要用来提供记录记录能力。在Linux系统中的核应用和许多应用都产生了许多类型的虚假信息、警告信息和其他警报。此信息将会通过 syslog 服务发送到日志文件 。使我们的后续分析更容易进行。取决于日志的类型和重要性, Syslog 可能会将日志存储到不同的文件中。日志优先数字水平越低越好。其优先级越高,消息也越重要。
| 日志优先级别 | 英文单词 | 中文 | 说明 |
|---|---|---|---|
| 级别 | 英文单词 | 中文释义 | 说明 |
| 0 | EMERG | 紧急 | 导致主机系统不可用 |
| 1 | ALERT | 警告 | 我们必须迅速采取行动解决这一问题。 |
| 2 | CRIT | 严重 | 比较严重的情况 |
| 3 | ERR | 错误 | 运行出现错误 |
| 4 | WARNING | 提醒 | 系统的运作可能受到危害。这是一个重大事件,必须传达给用户。 |
| 5 | NOTICE | 注意 | 它对正常运作没有影响,但应予注意。 |
| 6 | INFO | 信息 | 一般信息 |
| 7 | DEBUG | 调试 | 例如,程序或系统的调试数据。 |
Linux 的日日志文件很流行, 默认设置保存日志文件/var/log目录下:
| 日志文件 | 说明 |
|---|---|
| /var/log/cron | 日志用于跟踪系统的定时任务。 |
| /var/log/cups | 记录打印信息的日志 |
| /var/log/dmesg | 当系统启用时,自我检查信息会被记录下来,并可以通过dmesg命令直接看到。 |
| /var/log/mailog | 记录邮件信息 |
| /var/log/message | 记录大部分基本信息的日志文件在Linux中记录,是系统有困难时首先检查的项目。 |
| /var/log/btmp | 这是记录错误日志的二进制日志。 它不能直接用 v 直接检查, 但是它也可以用 lastb 命令查看 。 |
| /var/log/lastlog | 记录所有系统用户的最后登录时间的日志。 此文件是二进制文件, 可能不会直接用 v 直接检查, 但可以使用最后命令查看, 但没有记录所有系统用户的最后登录时间。 此文件是二进制文件, 可能不会直接用 vi 检查, 但是可以使用最后命令查看 。 |
| /var/log/wtmp | 持续记录所有用户的登录和注销信息, 以及系统启动、 重新启动和关闭事件。 此文件是二进制的 。 它不能直接用 vi 来查看, 但是它也可以用最后一个命令来查看 。 |
| /var/log/utmp | 当用户登录和退出时记录当前登录用户信息的变化, 仅记录当前登录用户信息。 此文件无法直接使用 v 直接检查, 但可以用 w、 who、 users 等查看 。 |
| 或/var/log/auth.log 或/var/log/security | 跟踪认证和授权数据,包括账号和密码的所有程序都有记录。如果使用 SSH, su 交换用户, 以及 sudo 的许可 。除了添加用户和更改用户密码之外,该日志文件还将更新。为了方便查阅,核心信息可与其他信息分开。另存为不同的日志文件。 |
在评估应急反应记录期间,下列日志值得仔细审查:/var/log/Lastlog、/var/log/wtmp、/var/log/btmp、/var/log/btmp、/var/log/log/security等。
1、/var/run/utmp日志
当用户登录和退出时记录当前登录用户信息的变化, 仅记录当前登录用户信息。 此文件无法直接使用 v 直接检查, 但可以用 w、 who、 users 等查看 。。
w命令:查询 utmp 文件,以显示当前系统中的每个用户及其运行的过程。
who命令:查询 utmp 文件并向当前登录的每个用户报告。命令的常用输出包括用户名、终端类型、登录日期和远程主机。
users命令:在不同的行中显示当前登录用户名,显示的每个用户名对应一个登录会话。如果用户有几个登录会话,用户名则显示相同次数。
2、/var/log/lastlog”日志
记录所有系统用户的最后登录时间的日志。 此文件是二进制文件, 可能不会直接用 v 直接检查, 但可以使用最后命令查看, 但没有记录所有系统用户的最后登录时间。 此文件是二进制文件, 可能不会直接用 vi 检查, 但是可以使用最后命令查看 。。
3、/var/log/wtmp日志
持续记录所有用户的登录和注销信息, 以及系统启动、 重新启动和关闭事件。 此文件是二进制的 。 它不能直接用 vi 来查看, 但是它也可以用最后一个命令来查看 。。
4、/var/log/btmp日志
这是记录错误日志的二进制日志。 它不能直接用 v 直接检查, 但是它也可以用 lastb 命令查看 。。如果该日志文件过大可以清空。
5、/var/log/auth.log日志
跟踪认证和授权数据,包括账号和密码的所有程序都有记录。如果使用 SSH, su 交换用户, 以及 sudo 的许可 。除了添加用户和更改用户密码之外,该日志文件还将更新。为了方便查阅,核心信息可与其他信息分开。另存为不同的日志文件。
6、软件安装日志
在应急反应期间,还检查软件安装日志,如“/var/log/yum.Blog或'/var/log/”。
我不确定, 但是 yum.log- time 显示日志是由 yum 安装的, 例如 : '/ root/ 安裝. 系统中安装的软件包会在日志中保存 。
"/root/安裝. 我不知道你在說什麼。"
7. 自足的观察记录申请
当我们找到日志后,信息的数量是巨大的, 并且现在找到关键字是可行的, Linux使用壳牌命令分析安全日志。
三、Web日志
网站日志记录用户与网页的互动情况。我们可以从日志中推断到时间、IP地址访问网站、资源可用、访问是否成功等等。网络日志也透露了攻击者的一些细节。例如,考虑攻击者的IP地址和攻击声明。可以利用广泛的日志分析来探测追溯性。
三.1. IIS的中间值日志
IIS主要以三种文件格式解释文件:ASP、ASA、CER和CER。例如,PHP也可能装满环境资源。IIS是网络(网络)服务的一个组成部分。WW服务器、FTP服务器、NNTP服务器和SMTP服务器就是例子。它们用于各种目的,包括在线冲浪、文件共享、新闻服务和邮件分发。许多 IIS 日志的默认目录各不相同 。也可自定义。
IIS 天文件的格式是“ex+year's last two number + month + date + date ”, 后缀是 。 日志, 例如 2022 年 3 月 24 日创建的日志, 是 “ex 220324” log, 由默认天数生成 。
IIS中的每一日志格式不同。data、time、c-ip、cs-method、cs-uri-stem、 s-port、s-ip、cs(User-Agent)、sc-status、sc-bytes、cs-bytes组成。
| date | 发出请求时的日期。 |
| time | 发出请求时的时间。 |
| c-ip | 客户端IP地址。 |
| cs-method | 请求中使用的HTTP方法,如GET和POST。 |
| cs-uri-stem | 作为业务目标,非洲资源研究所资源储存了统一资源标识,网页文件被调阅。 |
| s-port | 指定给服务的服务器端口号 。 |
| s-ip | 服务器的IP地址。 |
| cs(User-Agent) | 用户代理,包括客户浏览器、操作系统等等。 |
| sc-status | 登记 HTTP 状态代码的礼宾状态为200个显示成功,403个显示无法进入,404个显示无法找到网站。 |
| sc-bytes | 服务器发送的字节 。 |
| cs-bytes | 服务器收到字节 |
三.2. 阿帕契中间体的日志
Apache 安装后, 将创建配置文件“ httpd. org. conf ” 。 在 conf 中有两个可缩放的日志文件, 它们是访问日志 。access_log/access.log和错误日志error_log/error.log如果使用SSL服务,它可能存在。ssl_access_log、ssl_error_log、ssl_request_log这3种日志文件。
日志文件路径根据安装方式和位置变化,而日志路径通常是在阿帕奇目录的日志子目录中,日志文件路径可能根据实际安装情况位于阿帕奇配置文件中。
应急工作的重点是获取日记和日志。access_ log对网络服务器的每一项请求都被登录。
示例如下:
127.0.0.1 - - [08/Jun/2021:11:43:08 +0800] "GET /sqli-labs/index.html_files/freemind2html.css HTTP/1.1" 200 1335
| 参数 | 说明 |
|---|---|
| 远程主机IP | 这篇文章是全球之声在线特稿的一部分。 |
| (电子邮件) 目前为空 。 | 使用替代工具避免用户信箱中的垃圾邮件。 |
| 空白(登录名) | 此功能用于保存浏览器在认证程序期间提供的名称 。 |
| 请求时间 | 使用“ 公共日志格式” 或“ 标准英语格式” 。 最新的时间信息 + 0800 显示服务器的时区比世界协调时落后8小时 。 |
| 方法资源协议 | 指定服务器收到的请求类型。此信息的标准格式是“METHOD资源协议”。 |
| 状态代码 | 如果请求成功或发生任何错误。 大部分时间, 值为200, 表明服务器已成功响应浏览器的要求 。 |
| 发送字节数 | 提供给客户端的字节数量可能表明转账是否停止(是否值与文件相符)。 |
三.3. 中间Tomcat日志
Tomcat 日志配置文件位于 Tomcat 目录中 。/conf/logging.propertiesTomcat 默认情况下会有四种不同的日志。catalina、localhost、 manager、 host-managerTomcat 中的日志类别也可以定制 。
| catalina.out | 表示标准输出( stdout) 和标准错误( stderr), 向两个地方的所有出口都输入了 Catalina 。 Tomcat 运行自己的输出以及从应用程序到 Console 的日志 。 |
| catalina.yyyy-MM-dd.log | 有些日志是由Tomcat自己操作的。这些木头也会被出口到卡塔琳娜。 出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去,出去。但如果您对控制台应用日志输出, 它将不会导出到此日志文件 。记录了Tomcat的启动和暂停记录。和Catalina。 出去不是一回事。 |
| localhost.yyyy-MM-dd.log | Tomcat从启动时大量应用未处理异常(听器、过滤器、服务器)后获得的日志。也记录着Tomcat的启动和暂停的历史。但它缺乏卡塔琳娜。我不确定,Yyy-MM-dd。日志充满了数据。只是部分日志。 |
| localhost_access_log.yyy-MM-dd.txt | 记录请求的地址、路径、时间、协议和状态代码。 |
| host-manager.yyy-MM-dd.log | Tomcat自己的经理项目用来储存日志信息。 |
| manager.yyyy-MM-dd.log: | Tomcat 管理项目日志文件是独一无二的 。 |
3.4、Weblogic
WebLogic 的默认设置包括三个日志 :访问日志、服务器日志和域日志都可用。,
8. 以下是x与WebLogic 9及其未来版本的区别:
WebLogic x.x.x.x.x.x.x.x.x.x.x.
登录以获取访问权限 :$MW_HOMEuser_projectsdomains<domain_name><server_name>access.log";
服务器日志如下:$MW_HOMEuser_ projectsdomains<domain_name><server_ name><server_name>.log";
域名的日志 :$MW_HOMEuser_projectsdomains<domain_name><domain_name>.log;
WebLogic 9 及以下版本:
登录以获取访问权限 :$MW_HOMEuser_projectsdomains<domain_name>servers<server_name>logsaccess.log
服务器日志如下:$MW_HOMEuser_projectsdomains<domain_name>servers<server_name>logs<server_name>.log
域名的日志 :$MW_HOMEuser_projectsdomains<domain_name>servers<adminserver_name>logs<domain_name>.log
| $MW_HOME | WebLogic 安装路径; |
| <domain_name> | 域名的真名, 当域名形成时提供 ; |
| <server_ name> | 是服务器创建时所声明的服务器的真名; |
| <adminserver_ name> | 表示控件服务器的名称,即当管理服务器建立时显示的控件服务器的名称。 |
3.5. Nginx中间日志
Nginx中间日志分为两类:访问日志和错误日志。access.log、error.log,默认情况下,access.log日志将保存在以 Nginx 配置路径路径的日志目录中。 如果 Nginx 是使用 yum 软件包管理器安装的, 那么access.log的默认路径为/var/log/nginx/access.log您也可以更改日志文件的位置 。