应急响应-日志分析

Windows日志分析

日志概述在Windows系统中,日志文件包括:系统日志、安全性日志、应用程序日志:
在Windows Vista/windwos 7/windows 8/windows 10/windows server 2008及以上版本中:

系统日志的存放位置:%SystemRoot%\System32\Winevt\Logs\System.evtx
安全性日志存放位置:%SystemRoot%\System32\Winevt\Logs\Security.evtx
应用程序日志存放位置:%SystemRoot%\System32\Winevt\Logs\Application.evtx

如何查看:右键我的电脑-管理-系统工具-事件查看器,或者eventvwr查看事件查看器
应急响应-日志分析_第1张图片

打开Windows系统的事件查看器,右键单击系统或安全日志,选择筛选当前日志,在筛选器中输入下列事件ID即可。
应急响应-日志分析_第2张图片应急响应-日志分析_第3张图片

系统:
1074,通过这个事件ID查看计算机的开机、关机、重启的时间以及原因和注释。
6005,表示计算机日志服务已启动,如果出现了事件ID为6005,则表示这天正常启动了系统。
104,这个时间ID记录所有审计日志清除事件,当有日志被清除时,出现此事件ID。

安全:
4624,这个事件ID表示成功登陆的用户,用来筛选该系统的用户登陆成功情况。
4625,这个事件ID表示登陆失败的用户。
4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户帐号发生创建,删除,改变密码时的事件记录。
4727,4737,4739,4762,事件ID表示当用户组发生添加、删除时或组内添加成员时生成该事件。

Linux日志分析

  1. /var/log/cron 记录了系统定时任务相关日志
    应急响应-日志分析_第4张图片

  2. /var/log/dmesg 记录了系统在开机时内核自检的信息,也可以使用dmesg命令直接查看内核自检信息

  3. /var/log/message 记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息,如果系统出现问题时,首先要检查的就应该是这个日志文件,但由于记录的信息太杂,一般不查看

  4. /var/log/btmp 记录错误登录日志,这个文件是二进制文件,不能直接vi查看,而要使用lastb命令查看
    应急响应-日志分析_第5张图片

  5. /var/log/lastlog 记录系统中所有用户最后一次登录时间的日志,这个文件是二进制文件,不能直接vi,而要使用lastlog命令查看
    应急响应-日志分析_第6张图片

  6. /var/log/wtmp 永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件,不能直接vi,而需要使用last命令来查看
    应急响应-日志分析_第7张图片

  7. /var/log/utmp 记录当前已经登录的用户信息,这个文件会随着用户的登录和注销不断变化,只记录当前登录用户的信息。同样这个文件不能直接vi,而要使用w,who,users等命令来查询
    应急响应-日志分析_第8张图片

  8. /var/log/secure 记录验证和授权方面的信息,只要涉及账号和密码的程序都会记录,比如SSH登录,su切换用户,sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中。
    在这里插入图片描述

你可能感兴趣的:(应急响应,应急响应,Windows应急响应,Linux应急响应,网络安全)