在取證這一塊，通常的就是日志取證，技術(shù)要求更高的還有內(nèi)存取證等
日志分析包括：系統(tǒng)日志分析、中間件日志分析、數(shù)據(jù)庫日志分析

通常，系統(tǒng)自帶的日志數(shù)量龐大，一般都挑重點分析

文章目錄

• windows日志分析
• • windows事件日志
  • • 常見事件日志分析
    • • 用戶登錄、注銷
      • 無線網(wǎng)絡(luò)接入
      • 移動設(shè)備使用
• Linux日志分析
• • 系統(tǒng)日志基礎(chǔ)
  • • 日志分析實例
  • 中間件日志分析
  • • APACHE
    • IIS
    • mysql日志
    • 判斷網(wǎng)站是否被入侵過

windows日志分析

windows事件日志

• windows事件日志包括系統(tǒng)，安全，應(yīng)用程序記錄
• 每個事件包含9個元素：時間、類型、用戶、計算機、事件ID、來源、類別、描述、數(shù)據(jù)
• 存放路徑：C:\windows\system32\winevt\logs\

查看方法：開始->運行->輸入eventvwr.msc打開事件查看器
事件查看器把日志分為兩大類：windows日志、應(yīng)用程序日志和服務(wù)日志

windows日志事件類型：應(yīng)用程序、安全、setup、系統(tǒng)、forwarded event

應(yīng)用程序日志：

• 包含應(yīng)用程序或系統(tǒng)程序記錄的事件，主要記錄程序運行方面的事件
• 日志默認位置：%SystemRoot%\System32\Winevt\Logs\Applocation.evtx

系統(tǒng)日志：

• 記錄操作系統(tǒng)組件產(chǎn)生的事件，包括驅(qū)動程序、系統(tǒng)組件、應(yīng)用程序崩潰以及數(shù)據(jù)丟失錯誤等
• 日志默認位置：%SystemRoot%\System32\Winevt\Logs\System.evtx

安全日志:(重點)

• 包含安全性相關(guān)的事件，如用戶權(quán)限變更、登錄和注銷、文件及文件夾訪問等信息
• 日志默認位置:%SystemRoot\System32\Winevt\Logs\Security.evtx

常見事件ID：
每個成功登錄的事件都會標記一個登錄類型，不同登錄類型代表不同的方式

常見事件日志分析

常見windows事件：

用戶登錄/注銷

遠程訪問事件(RDP)

無線網(wǎng)絡(luò)接入

USB介質(zhì)移動

用戶登錄、注銷

比如現(xiàn)在有一個事件，它有如下信息：

EventID=4624(登錄成功)
登錄類型：2
賬戶名稱：administrator
記錄時間：2020/2/7 xx:xx:xx
事件ID：4624
計算機：win2008

就代表以本地交互式登錄本地主機，且登錄成功

無線網(wǎng)絡(luò)接入

• 事件ID：10000網(wǎng)絡(luò)已連接、10001網(wǎng)絡(luò)已斷開
• windows事件日志位置：Microsoft-Windows-NetworkProfile-Operational
• 系統(tǒng)關(guān)聯(lián)過的wifi\vpn都有記錄

移動設(shè)備使用

• 事件ID：20001&20003（驅(qū)動安裝，屬于系統(tǒng)日志）、4663移動接入成功、4656設(shè)備接入失敗
• 注冊表：UserPnP\DeviceInnstall
• win7及以上：C:\windows\INF\setupapi.dev.log

Linux日志分析

分類：

內(nèi)核及系統(tǒng)日志：由系統(tǒng)服務(wù)rsyslog統(tǒng)一進行管理

用戶日志：記錄系統(tǒng)用戶登錄及退出系統(tǒng)的相關(guān)信息

程序日志：由相應(yīng)的應(yīng)用程序進行獨立管理。如web,ftp服務(wù)

日志默認保存位置：/var/log/及其子目錄

系統(tǒng)日志基礎(chǔ)

日志優(yōu)先級：
日志類型：
常見日志文件

lastlog,btmp,ytmp,wtmp是二進制文件，需要用命令查看
windows查看當前登錄操作系統(tǒng)的用戶：query user
ac 用戶名查看用戶登錄的總時長

日志分析實例

分析安全日志:/var/log/secure

可以看到在日志文件記錄登錄失敗有明顯的Failed password for root

定位有多少IP在爆破主機的root賬號：
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

grep "Failed password for root"即篩選；|前一個命令輸出為后一個命令輸入；awk '{print $n}'以空格為分割符輸出第n個字符串，比如n=1時輸出Aug,n=2輸出9，-F命令指定以什么分隔，默認空格；sort為排序；uniq去重；-c顯示有多少個重復(fù)的；sort -n以數(shù)量排序，加r倒序；more查看文本，和cat比能翻頁

中間件日志分析

APACHE

apache日志存放位置：

• windows:apache安裝目錄的logs子目錄
• linux默認安裝下在/var/log/httpd
  access_log為訪問日志；error_log為錯誤日志.
  access_log和error_log差不多，就只舉例access_log就行了

access_log內(nèi)容：

200為狀態(tài)碼，1220為數(shù)據(jù)包長度，重點還是看圖
在/etc/httpd/conf/httpd_conf配置文件里寫好了apache日志文件的格式

• 查看ip：cat access_log | awk '{print $1}'
• 顯示指定時間以后的日志：cat access_log | awk '$4>="[1/Jan/2020:00:00:00"'
• 查看指定IP行為：cat access_log | grep 192.168.3.3 | awk '{print $1"\t"$8}' |sort |uniq -c |sort -nr |less
• 查看最近訪問量降序排列文件：cat access_log | tail 10000|awk '{print $7}'| sort |uniq -c |sort -nr|less

IIS

日志文件默認位置：

• IIS7.5:%SystemDrive%\inetpub\logs\LogFiles
• IIS6.0:%systemroot%\system32\logfiles\w3svc1\

IIS日志常用字段：

IIS其實和apache差不多，只是格式有所區(qū)別。

mysql日志

mysql日志主要用到的有三種，錯誤日志、查詢?nèi)罩尽⒙樵內(nèi)罩?/p>

• 錯誤日志默認開啟，對現(xiàn)階段沒啥用
• 查詢?nèi)罩?#xff08;最有用的）記錄增刪改查信息，由于信息量大默認關(guān)閉，show global variables查看查詢?nèi)罩疚恢靡约笆欠耖_啟，如果關(guān)閉可以在my.cnf中開啟，但是影響Mysql性能，一般只在開發(fā)環(huán)境開啟
• 慢查詢?nèi)罩?/li>

• 慢查詢?nèi)罩臼菍φ{(diào)試程序最有用的日志，慢查詢默認記錄超過10s的查詢語句，一般情況正常的web應(yīng)用不會出現(xiàn)大量慢查詢?nèi)罩?#xff0c;所以最好開啟
• show glabal variables like '%slow%';查看慢查詢?nèi)罩疚恢眉笆欠耖_啟
  對某些時間盲注賊有用

判斷網(wǎng)站是否被入侵過

如果實在不會用linux命令行查找文本相關(guān)內(nèi)容，那完全可以復(fù)制到windows然后ctrl+F嘛。查找入侵痕跡也很簡單，比如sql在日志文件查看%20和單引號等在sql有關(guān)鍵作用的語句，前提是對方?jīng)]有刪掉相關(guān)日志。

用戶下載數(shù)據(jù)庫的記錄：
可以看到來自甘肅省慶陽市電信(60.165.238.228)的朋友試圖下載powereasy2006.mdb的數(shù)據(jù)庫，但是狀態(tài)碼404沒有找到界面,2為找不到指定文件
目錄爆破的記錄：

文件上傳：

所以還是前面代碼審計那一套，別人搞什么我們就看什么。

• select,insert,delete:查看sql注入
• .mdb查看用戶下載mdb數(shù)據(jù)庫
• upfile,upload,file：查找是否被掛木馬
• post：上傳信息到服務(wù)器
• 目錄爆破：404多次重復(fù)

總結(jié)

以上是生活随笔為你收集整理的日志分析(偏linux)的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。