什么是日志?
简单来说,日志就是计算机系统、设备、软件等在某种情况下记录的信息。比如说:防火墙将记录ACL通过和拒绝的消息,磁盘存储系统在故障发生或者在某些系统认为将会发生故障的情况下生成日志信息。
什么是 Windows日志?
Windows网络操作系统都设计有各种各样的日志文件,如应用程序日志,安全日志、系统日志、Scheduler服务日志、FTP日志、WWW日志、DNS服务器日志等等,这些根据你的系统开启的服务的不同而有所不同。我们在系统上进行一些操作时,这些日志文件通常会记录下我们操作的一些相关内容,这些内容对系统安全工作人员相当有用。比如说有人对系统进行了IPC探测,系统就会在安全日志里迅速地记下探测者探测时所用的IP、时间、用户名等。还有Web服务器一般会在有人访问Web页面请求资源(图片、文件等等)的时候记录日志。
应用程序日志记录的是应用程序在系统中产生的事件信息。
安全日志记录的是系统的安全信息,包括成功的登录、退出,不成功的登录,系统文件的创建、删除、更改。并且安全日志只有系统管理员才可以访问。
系统日志记录的是Windows系统组件产生的事件,主要包括驱动程序、系统组件、应用程序错误信息等。
这些日志文件的位置为:C:\Windows\System32\winevt\Logs,分别是Application.evtx、Security.evtx、System.evtx。
日志的重要性
在一个完整的信息系统里面,日志系统是一个非常重要的功能组成部分。它可以记录下系统所产生的所有行为,并按照某种规范表达出来。我们可以使用日志系统所记录的信息为系统进行排错,优化系统的性能,或者根据这些信息调整系统的行为。在安全领域,日志可以反应出很多的安全攻击行为,比如登录错误,异常访问等。日志还能告诉你很多关于网络中所发生事件的信息,包括性能信息、故障检测和入侵检测。日志会成为在事故发生后查明“发生了什么”的一个很好的“取证”信息来源。日志可以为审计进行审计跟踪。
(版权声明:本文为CSDN博主「zhulinu」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/zhulinu/article/details/49758287)
如何查看日志文件?
通常如果我们需要查看这些日志文件,可以通过Windows自带的事件查看器进行查看。
随机点击某条信息我们可以看到详细信息
我们可以看到这里出现了事件ID:4672,4672是指特殊登录即使用超级用户(如管理员)进行登录。事件ID4672在我们的设备中属于经常可见的项目,像这样的事件ID还有很多。
此网址中就对大部分事件ID进行了解https://www.cnblogs.com/Yang34/p/13453210.html
列举一些常用的安全事件ID
4624 登陆成功4625 登录失败4634 注销成功4647 用户启动的注销4672 使用超级用户(如管理员)进行登录4720 创建用户
我们可以看到许多详细信息比如使用者、用户、进程信息等
如何查看详细的日志信息?
在事件查看器中所记录的信息并不是特别的详细,所以如果我们需要更加详细的日志信息,就要对日志策略进行配置。
打开“本地安全策略”
在服务器安全配置中,推荐开启登录失败记录,如果服务器在域内建议开启审核目录服务访问的成功和失败记录。因为如果有恶意攻击者尝试对服务器进行账号密码爆破,那么就会有许多的登陆失败记录,我们就可以通过日志中的失败记录来判断是否存在过爆破。
HTTP日志格式
举个栗子:
2019-04 -23 00:00:00 GET /newsview.asp folderID=37NN%3FPK%3F35%3FOV%3F32&parentid=2FR%3FWX%3F33 80 - 220.243.136.161 Mozilla/5.0+(Linux;+Android+5.0;+SM-G900P+Build/LRX21T)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/45.0.7428.306+Mobile+Safari/537.36 200 0 0 312
日期:2019-04-23 00:00:00请求类型:GET请求路径:/newsview.asp源IP:220.243.136.161浏览器指纹:Mozilla/5.0+(Linux;+Android+5.0;+SM-G900P+Build/LRX21T)状态码:200响应包:312
web访问日志分析简易步骤
备份日志Web应用信息收集时间定位、后门文件特征根据时间节点发现攻击者请求根据后门名称发现攻击者请求根据攻击者指纹(IP、浏览器指纹)筛选日志分析攻击者访问行为和攻击行为分析攻击者利用的漏洞点和对应的请求包