日志的介绍和远程连接

日志

@江南的江

#每日鸡汤：人的一生，没有一味的苦，没有永远的痛；没有迈不过的坎，没有闯不过的关。

#初心和目标：在网络安全搞出名堂。。。

---------------------------------------------------------------------------------------------------------------------------------

------本章问题：为什么要有日志，他的作用是什么，他能代替人们做什么，怎么使用日志。---------

---------------------------------------------------------------------------------------------------------------------------------

1.  日志的重要性：

日志，在现实生活中类似于一个日记本，他无时无刻的记录着大大小小点点滴滴的事情，就比如现在你打开了CSDN这个位于浏览器中的位于CSDN服务器的中我的这篇文章那么你的行为也被记录子啊日志中，只不过这个日志一般不会好找，最好的表现在于你的浏览器历史记录中有了这篇网站文章的网址。

同理计算机中也依靠日志：对于网络安全日志是不可或缺的存在之一，同样日志对于攻击者入侵者来说是危险的存在，他会记录下他的罪行和行为，这对他很不利，所以一般的黑客骇客在攻击或者渗透目标后通常会清除日志（这也是他们离开前最重要的事），虽然日志可能会被清除但在普通的管理中还是有很多用处的在Linux 中的日志主要在/var/log/中是分开装的各个log文件有自己的管理方面例如sercure 是实时记录用户的登录和登出的他里面记录了用户的登录时间，他通常会有自带的一个备份。

对于windows来说日志就比较人性化，是图形化的更方便操作

2.日志的ID：

说到日志那么就不得不提他的难点ID的记录

在Windows日志中令人最为头疼的就是ID，下面列举出一些常用的ID

1062 ----- 服务未启动

1067 ----- 进程意外终止

1222 ----- 网络不存在或者未启动

1331 ----- 登录失败登录的是禁用用户

1326 ----- 未知密码和用户

1328 ----- 不允许指定用户登录

4740 ----- 用户帐户已被锁定
4741 ----- 已创建计算机帐户
4742 ----- 计算机帐户已更改
4743 ----- 计算机帐户已删除

RDP/SSH/TELNET的日志监控：

那么先从RDP来开始

RDP远程桌面服务，作为一个Windows唯一自带的图形化的远程连接，他的端口就是3389.

首先得知道windows的日志怎么查看

同时按Win+R键在运行的命令行中输入eventvwr.msc

那么怎么看日志，默认的登录日志存放在Windows日志>安全

然后在查找中输入事件的ID

Rdp的事件id

Rdp特殊登录成功：4672

Rdp登陆已注销：4634

Rdp取消连接：4778

SSH的日志:

SSH的日志分两个操作系统

1,windows 运用日志的事件筛选器如下图

                            2.Linux 在linux中在/var/log中有个secure，这个里面存放着ssh和telnet的登录详细时间和详细信息

那么如何验证他能否监测登录

实验操作

ssh

1.先看看是否可以ping通

2.在ping通的情况下看看是否开启服务

3.现在试一试能否成功连接

4.这边为什么不需要密码呢是因为我之前生成过公钥和私钥了并进行互换

telnet

1.。。。

2.查看服务

不同的是telnet的服务是在一个守护进程中的

在disable = no 时

重启守护进程

3.测试连通

4.这边没反应说是端口没开，其实不是是防火墙拦截了

5. 关闭防火墙

3.windows日志的分类

Windows 日志的打开方式：

Windows 的日志主要的在名为windows日志的日志模块中，里面的日志模块有安全、应用程序、Setup、系统、Forwarded Events

应用程序：顾名思义就是对于windows 中的应用行为进行记录

有打开/关闭会话等

安全：对于网络安全来说安全这个词相关的东西是十分重要的

在安全日志中存放着对于windows的登入登出的信息，例如rdp服务的信息ssh服务的信息telnet服务的信息等，那么除了这些还有用户创建，用户注销等，敏感的系统信息

Setup：是windows更新信息的日志

系统：是系统操作和报错等

下面的就是应用程序和服务日志

他们的日志和名字一个意思就是本地计算机里的服务和应用程序的更详细的日志是程序或服务自发的自我启动的日志记录

例如Openssh 是ssh 服务的日志等