應急響應-作業系統日誌收集與分析

2022-01-30 銀河護衛隊super

一、Windows日誌收集與分析

    在運維工作過程中,如若windows伺服器被入侵,往往需要檢索和分析相應的安全日誌。除了安全設備,系統自帶的日誌就是取證的關鍵材料,但是此類日誌數量龐大,需要高效分析windows安全日誌,提取出我們想要的有用信息,就顯得尤為關鍵。

Windows日誌概述

    windows日誌記錄著Windows系統中硬體、軟體和系統問題的信息,同時還可以監視系統中發生的事件,掌握計算機在特定時間的狀態,以及了解用戶的各種操作行為,為應急響應提供很多關鍵的信息。

    Windows主要有以下三類日誌記錄系統事件:應用程式日誌、系統日誌和安全日誌。

應用程式日誌

    包含由應用程式或系統程序記錄的事件,主要記錄程序運行方面的事件,例如資料庫程序可以在應用程式日誌中記錄文件錯誤,程序開發人員可以自行決定監視哪些事件。如果某個應用程式出現崩潰情況,那麼我們可以從程序事件日誌中找到相應的記錄,也許會有助於你解決問題。

    日誌的默認位置為:C:\Windows\System32\winevt\Logs\Application.evtx

系統日誌

    Windows系統組件產生的事件,主要包括驅動程序、系統組件、應用程式錯誤消息等。

    日誌的默認位置為:C:\Windows\System32\winevt\Logs\System.evtx

安全日誌

    主要記錄系統的安全信息,包括成功的登錄、退出,不成功的登錄,系統文件的創建、刪除、更改,需要指明的是安全日誌只有系統管理員才可以訪問,這也體現了在大型系統中安全的重要性。

    日誌的默認位置為:C:\Windows\System32\winevt\Logs\Security.evtx

查看系統日誌


事件日誌分析—事件類型

    Windows事件日誌文件本質上是資料庫,其中包括有關系統、安全、應用程式的記錄。記錄的事件包含9個元素:日期/時間、事件類型、用戶、計算機、事件ID、來源、類別、描述、數據等信息。

    信息:信息事件指應用程式、驅動程序或服務的成功操作的事件。

    錯誤:錯誤事件指用戶應該知道的重要的問題。錯誤事件通常指功能和數據的丟失。

    警告:警告事件指不是直接的、主要的,但是會導致將來問題發生的問題。    

    失敗審核:失敗的審核安全登錄嘗試,例如用戶試圖訪問網絡驅動器失敗,則該嘗試會被作為失敗審核事件記錄下來。

事件日誌分析—登陸類型

登錄類型

描述

說明

2

交互式登錄

用戶在本地進行登錄

3

網絡

最常見的情況就是連接到共享文件夾或者共享印表機

4

批處理

通常表明某個計劃任務啟動

5

服務

每種服務都被配置在某個特定的用戶帳號下運行

7

解鎖

屏保解鎖

8

網絡明文

登錄的密碼在網絡上通過明文傳輸的,如FTP

9

新憑證

使用帶/Netonly參數的RUNAS命令運行一個程序

10

遠程交互

通過終端服務、遠程桌面或遠程協助訪問計算機

11

緩存交互

以一個域用戶登錄而又沒有域控制器可用

事件日誌分析—事件ID

事件ID

說明

4624

登錄成功

4625

登錄失敗

4634

註銷成功

4647

用戶啟動的註銷

4672

使用超級用戶(如管理員)進行登錄

4720

創建用戶

6005

表示計算機日誌服務已啟動,如果在事件查看器中發現某日的事件ID號為6005,就說明這天正常啟動了windows系統。

6006

表示事件日誌服務已停止,如果沒有在事件查看器中發現某日的事件ID為6006的事件,就表示計算機在這天沒關機或沒有正常關機

二、Linux日誌收集與分析

    Linux系統日誌的重要性無需多言,日誌對管理員來說,是了解系統運行的主要途徑,因此需要對 Linux 日誌系統有個詳細的了解。

    Linux 系統內核和許多程序會產生各種錯誤信息、告警信息和其他的提示信息,這些各種信息都應該記錄到日誌文件中,完成這個過程的程序就是 rsyslog,rsyslog 可以根據日誌的類別和優先級將日誌保存到不同的文件中。

Linux作業系統日誌概述

    大部分Linux發行版默認的日誌守護進程為syslog,位於「/etc/syslog」或者「/etc/syslogd」,默認配置文件為「/etc/syslog.conf」,任何希望生成日誌的程序都可以向syslog發送信息。

    Linux系統內核和許多程序都會產生各種錯誤信息、警告信息和其他提示信息都會被寫在日誌文件中,完成這個過程的程序就是syslog,syslog可以根據日誌的類別和優先級將日誌保存到不同的文件中,數字級別越小,其優先級別越高,消息也越重要。

查看日誌

日誌默認存放位置

查看日誌配置情況

日誌分析—連接符號

連接符號

說明

*

代表所有日誌等級,比如:「authpriv.*"代表authpriv認證信息服務產生的日誌,所有的日誌等級都記錄。

.

代表只要比後面的等級高的(包含該等級)日誌都記錄下來。比如:"cron.info"代表cron服務產生的日誌,只要日誌等級大於等於info級別,就記錄。

.=

代表只記錄所需等級的日誌,其他等級的都不記錄。比如:"*.=emerg"代表任何日誌服務產生的日誌,只要等級是emerg等級就記錄。這種用法及少見,了解就好。

.!

代表不等於,也就是除了該等級的日誌外,其他等級的日誌都記錄。

日誌分析—日誌優先級

級別

等級名稱

說明

0

EMERG(緊急)

導致主機系統不可用

1

ALERT(警告)

必須馬上採取措施解決問題

2

CRIT(嚴重)

比較嚴重的情況

3

ERR(錯誤)

運行出現錯誤

4

WARNING(提醒)

可能影響系統功能,是需要提醒用戶的重要事件

5

NOTICE(注意)

不會影響正常功能,但是需要注意的事件

6

INFO(信息)

一般信息

7

DEBUG(調試)

程序或系統的調試信息

日誌分析—Linux系統中常見的日誌文件說明

日誌文件

說明

/var/log/cron

記錄了系統定時任務相關的日誌

/var/log/dmesg

記錄了系統在開機時內核自檢的信息,也可以使用dmesg命令直接查看內核自檢信息

/var/log/message

記錄系統重要信息的日誌。這個日誌文件中會記錄Linux系統的絕大多數重要信息,如果系統出現問題時,首先要檢查的就應該是這個日誌文件,但由於記錄的信息太雜,一般不查看

/var/log/btmp

記錄錯誤登錄日誌,這個文件是二進位文件,不能直接vi查看,而要使用lastb命令查看

/var/log/lastlog

記錄系統中所有用戶最後一次登錄時間的日誌,這個文件是二進位文件,不能直接vi,而要使用lastlog命令查看

/var/log/wtmp

永久記錄所有用戶的登錄、註銷信息,同時記錄系統的啟動、重啟、關機事件。同樣這個文件也是一個二進位文件,不能直接vi,而需要使用last命令來查看

/var/log/utmp

記錄當前已經登錄的用戶信息,這個文件會隨著用戶的登錄和註銷不斷變化,只記錄當前登錄用戶的信息。同樣這個文件不能直接vi,而要使用w,who,users等命令來查詢

/var/log/secure

記錄驗證和授權方面的信息,只要涉及帳號和密碼的程序都會記錄,比如SSH登錄,su切換用戶,sudo授權,甚至添加用戶和修改用戶密碼都會記錄在這個日誌文件中

日誌分析技巧

常用的shell命令:

find命令:在目錄中查找指定文件

grep命令:在文件中搜尋匹配的行並輸出

awk命令:查找文本,輸出匹配的內容

sort命令:對文件進行排序

wc命令:統計

註:若有侵權,請聯繫作者刪除。

記一次搭建靶場滲透過程(1)

記一次搭建靶場滲透過程(2)

記一次搭建靶場滲透過程(3)


           團隊介紹

銀河護衛隊super,是一個致力於紅隊攻防實戰、內網滲透、代碼審計、安卓逆向、安全運維等技術乾貨分享的隊伍,定期分享常用滲透工具、復現教程等資源。歡迎有想法、樂於分享的具備網際網路分享精神的安全人士進行交流學習。

點擊關注銀河護衛隊super

相關焦點

  • 「企業應急響應和反滲透」之真實案例分析
    對於企業應急響應,我想只要從事安全工作的同學都有接觸,我也一樣,在甲方乙方工作的這幾年,處理過不少應急響應的事件,但是每個人都會有自己做事的方法,在這裡我主要分享一下我對應急響應的理解以及對碰到的一些案例。0x00 什麼時候做應急響應?應急響應,估計最近幾年聽到這個詞更多是因為各大甲方公司開始建設和運營自己的應急響應平臺,也就是 xSRC。
  • 電子取證(Forensics)-Windows日誌分析
    ,來進一步了解Windows取證的相關知識,這裡所說的日誌文件也就是Windows中自帶的日誌記錄程序生成的文件,其中記錄著Windows系統及其各種服務運行的細節,如各種系統服務的啟動、運行、關閉等信息,它是用於幫助系統管理員在其計算機上發現並解決問題,另外它對於取證和應急響應起著非常重要的作用。
  • 應急響應的基本流程(建議收藏)
    因實際的應急情況會比較複雜,因此需根據實際情況進行靈活處置。1.了解情況發生時間:詢問客戶發現異常事件的具體時間,後續的操作要基於此時間點進行追蹤分析。受影響系統類型:詢問具體的作業系統類型及相關情況,以便後續的應急處置。
  • 網絡管理員必備的10個優秀日誌分析工具
    網絡管理員如果想在企業的大型網絡中掌握網絡性能,離不開對網絡日誌的分析,幫助你在網絡性能出現問題時,及早發現。哪些日誌分析工具會成為你的得力助手?為什麼需要日誌分析工具?連接到網絡的每個設備或應用都會創建日誌文件。網絡管理員使用這些日誌文件來查看性能數據。
  • 企業安全建設之HIDS(二):入侵檢測&應急響應
    基於主機層面去檢測,關於HIDS入侵檢測的內容比較多,這裡根據自己的經驗總結通用的應急流程,應急響應是個體力活,但是很有意思,攻防對抗中,誰更了解這個系統,誰就擁有主動權。本小白記憶力不好,特此記錄,也方便後期自己應急和升華。前序文章:企業安全建設之HIDS那基於主機層的應急響應和入侵檢測還是又很多相同的地方的,那區別點又在哪?一.Linux應急響應或入侵檢測的檢查項目獲取了什麼信息?目的又是什麼?
  • HW藍隊必看【應急響應+面試中級分享】
    給大家分享今天下午他做的筆記1.面試官會按照你簡歷上的問2.問你滲透測試基礎方面sql注入,xss,信息收集方面多說一點,說的細一點,因為滲透的本質就是信息收集,滲透測試的流程也要說詳細點 好讓面試官覺得你水平還可以比如sql的報錯函數有floor,updatexml,extractvalue等等xss也說細一點,比如存儲型與反射性的區別有哪些,特點是什麼
  • 閒聊Windows系統日誌
    Windows系統日誌簡介Windows作業系統在其運行的生命周期中會記錄其大量的日誌信息,這些日誌信息包括:Windows事件日誌(Event Log),Windows伺服器系統的IIS日誌,FTP日誌,Exchange Server郵件服務,MS SQL Server資料庫日誌等。
  • Kubernetes ELK 日誌收集
    Kubernetes EFK日誌收集Kubernetes日誌收集架構Kubernetes集群本身不提供收集日誌的解決方案,目前基於ELK日誌收集的方案主要有三種在節點運行一個agent收集日誌在Pod中包含一個sidecar容器來收集日誌直接通過應用程式將日誌信息推送到採集後端 (例kafka,es等)節點級別的日誌記錄節點日誌採集 通過在每個節點上運行一個日誌收集的Agent來採集數據,日誌採集agent是一種專用工具,用於將日誌數據推送到統一的後端
  • 安全日誌分析系統架構
    而平時創建日誌分析系統很多都是同時匯聚很多系統的日誌的, WAF,IDS,網關,很多系統產生日誌都可以用同一系統,匯聚日誌,分析日誌。我們先回顧一下基於Openresty+的WEB防護系統的那張圖。當主請求到達負載均衡服務時,負載均衡把請求轉給後端的郵件網關,郵件網關再做完相關的檢查後,會把請求現轉給exchange郵件服務的負載均衡,由負載均衡決定由具體的那臺伺服器進行處理,如果在網關階段主請求就有問題,就會拒絕請求。在這個過程中,有多少結點產生日誌,就可以匯聚多少的日誌數據。郵件網關的日誌(Openresty)。郵件伺服器的的日誌。
  • windows日誌分析工具–WebLog Expert
    1.什麼是WebLog ExpertWeblog expert是一個快速和強大的訪問日誌分析器這會讓你了解你的網站的訪客:活動統計,訪問的文件的路徑,通過該網站,信息指頁面,搜尋引擎,瀏覽器,作業系統,和更多。該計劃所產生的易於閱讀的報告,包括文本信息(表)和圖表。
  • 通過vSphere Client收集ESXi主機日誌的方法
    該文檔是關於通過vSphere Client收集ESXi主機日誌的,如需通過Web Client等方式收集日誌,可以參考VMware
  • Windows主機日誌分析辦法與思路
    看到有人問,windows主機日誌怎麼做分析,今天就分享一篇文章專門來說說windows主機日誌分析。
  • 系統日誌管理規範
    適用範圍包括核心業務系統、重要業務系統及路由器、交換機、防火牆、入侵檢測系統等網絡設備等。由作業系統生成,記錄作業系統資源使用、作業系統用戶行為和重要系統命令使用等事件,主要用於檢查系統用戶所做的操作、分析系統運行情況、開展安全審計等。
  • K8S集群模式下fluent-bit日誌收集方案設計和實踐
    本篇文章中結合作者使用經驗,分析和設計 K8s 日誌收集實踐過程。」單純的日誌收集解決方案特別多,相對非常成熟,比如 ELK、EFK 等,這裡不在贅述,本文只針對 Kubernetes 中使用 fluent-bit 日誌收集,Kubernetes 下日誌收集相對於之前的物理機或者虛擬機的方式略有不同,很大一部分是因為 Kubernetes 的擴容和彈性能力。日誌形式種類更多,不僅業務日誌,更要考慮 docker、Kubernetes 等組件日誌。
  • 【小安講堂】黑客入侵應急分析手工排查(完整版·下卷)
    《黑客入侵應急分析手工排查》全文目錄索引
  • 國家緊急醫學救援隊心理救援分隊開展應急心理響應能力培訓
    國家緊急醫學救援隊(中南大學湘雅二醫院)心理救援分隊心理救援志願者應急心理響應能力培訓現場。國家緊急醫學救援隊(中南大學湘雅二醫院)心理救援分隊心理救援志願者應急心理響應能力培訓現場。紅網時刻3月25日訊(通訊員 宇靜 梁瓞綿)近日,國家緊急醫學救援隊心理救援分隊開展應急心理響應能力培訓。本次培訓,是中南大學湘雅二醫院應急心理救援學科建設「建立培訓體系、推廣湘雅經驗」規劃的開場第一課。
  • 多行日誌收集管理搞不定?
    多行日誌(例如異常信息)為調試應用問題提供了許多非常有價值的信息,在分布式微服務流行的今天基本上都會統一將日誌進行收集,比如常見的 ELK、EFK 等方案,但是這些方案如果沒有適當的配置,它們是不會將多行日誌看成一個整體的,而是每一行都看成獨立的一行日誌進行處理,這對我們來說是難以接受的。
  • 企點電話SDK的日誌追蹤系統
    在查詢日誌時,會利用多種條件進行篩選,還需要支持準實時的檢索能力。相對來講,對日誌的保存時間要求並不長,幾天到幾周即可,也沒有複雜的聚合和分析需求,日誌入庫後,一般不會對其進行二次處理和再分析,根據日誌的查詢需求和空間佔用情況,定期進行清理即可。
  • 青海調整應急響應級別,從「一級」變「三級」意味著什麼?
    其中,Ⅰ級響應屬於最高級別的響應。Ⅰ級響應:發生特別重大突發公共衛生事件,省指揮部根據國務院的決策部署和統一指揮,組織協調本行政區域內應急處置工作。青海新增確診趨勢。Ⅱ級響應:發生重大突發公共衛生事件,省指揮部立即組織指揮部成員和專家進行分析研判,對突發公共衛生事件影響及其發展趨勢進行綜合評估,由省人民政府決定啟動Ⅱ級應急響應,並向各有關單位發布啟動相關應急程序的命令。省指揮部立即派出工作組趕赴事發地開展應急處置工作,並將有關情況迅速報告國務院及其有關部門。