应急响应-日志分析

Windows日志分析

日志概述在Windows系统中，日志文件包括:系统日志、安全性日志、应用程序日志：
在Windows Vista/windwos 7/windows 8/windows 10/windows server 2008及以上版本中：

系统日志的存放位置：%SystemRoot%\System32\Winevt\Logs\System.evtx
安全性日志存放位置：%SystemRoot%\System32\Winevt\Logs\Security.evtx
应用程序日志存放位置：%SystemRoot%\System32\Winevt\Logs\Application.evtx

如何查看：右键我的电脑-管理-系统工具-事件查看器，或者eventvwr查看事件查看器

打开Windows系统的事件查看器，右键单击系统或安全日志，选择筛选当前日志，在筛选器中输入下列事件ID即可。

系统：
1074，通过这个事件ID查看计算机的开机、关机、重启的时间以及原因和注释。
6005，表示计算机日志服务已启动，如果出现了事件ID为6005，则表示这天正常启动了系统。
104，这个时间ID记录所有审计日志清除事件，当有日志被清除时，出现此事件ID。

安全：
4624，这个事件ID表示成功登陆的用户，用来筛选该系统的用户登陆成功情况。
4625，这个事件ID表示登陆失败的用户。
4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户帐号发生创建，删除，改变密码时的事件记录。
4727,4737,4739,4762,事件ID表示当用户组发生添加、删除时或组内添加成员时生成该事件。

Linux日志分析

1. /var/log/cron 记录了系统定时任务相关日志
   

2. /var/log/dmesg 记录了系统在开机时内核自检的信息，也可以使用dmesg命令直接查看内核自检信息

3. /var/log/message 记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息，如果系统出现问题时，首先要检查的就应该是这个日志文件，但由于记录的信息太杂，一般不查看

4. /var/log/btmp 记录错误登录日志，这个文件是二进制文件，不能直接vi查看，而要使用lastb命令查看
   

5. /var/log/lastlog 记录系统中所有用户最后一次登录时间的日志，这个文件是二进制文件，不能直接vi，而要使用lastlog命令查看
   

6. /var/log/wtmp 永久记录所有用户的登录、注销信息，同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件，不能直接vi，而需要使用last命令来查看
   

7. /var/log/utmp 记录当前已经登录的用户信息，这个文件会随着用户的登录和注销不断变化，只记录当前登录用户的信息。同样这个文件不能直接vi，而要使用w,who,users等命令来查询
   

8. /var/log/secure 记录验证和授权方面的信息，只要涉及账号和密码的程序都会记录，比如SSH登录，su切换用户，sudo授权，甚至添加用户和修改用户密码都会记录在这个日志文件中。