《日志管理与分析权威指南》一3.3 日志来源分类
本节书摘来华章计算机《日志管理与分析权威指南》一书中的第3章 ,第3.3节,(美) Anton A. Chuvakin Kevin J. Schmidt Christopher Phillips 著 姚 军 简于涵 刘 晖 等译更多章节内容可以访问云栖社区“华章计算机”公众号查看。
3.3 日志来源分类本节提供了一些生成日志数据的系统和应用程序实例。
3.3.1 安全相关主机日志这一类别涵盖由操作系统组件、各种网络服务日志和其他运行于系统之上的应用程序生成的主机日志。虽然许多消息只是(或者主要是)为性能跟踪、审计或者故障排除而生成的,但是大部分在安全上都有作用。
1.?操作系统日志
操作系统记录各种消息。我们来研究一些操作系统生成的安全相关消息:
示例(Linux syslog):
这个例子是Linux syslog中的一行,与远程用户用Secure Shell守护进程认证相关:
系统启动、关闭和重启。示例(Linux syslog):
这个例子中的Linux syslog与系统关闭相关。
服务启动、关闭和状态变化。示例(Solaris syslog):
这个例子是与sendmail守护进程启动相关的Linux syslog行。
服务崩溃。示例(Linux syslog):
这个例子是与FTP服务器偶然关闭(可能因为崩溃或者kill命令)相关的Linux syslog行。
杂项状态消息。示例(Linux syslog):
这个例子是与时间同步守护进程(NTPD)相关的Linux syslog行。
总体来说,操作系统消息被视为安全相关有两个主要原因:
1)它们可用于入侵检测,因为成功和失败的攻击通常在日志中留下独特的痕迹。大部分入侵检测系统(HIDS)和安全信息及事件管理系统(SIEM)收集这类消息,做出过去和将要出现的威胁的判断(在日志中发现攻击者侦察活动的痕迹时)。
2)它们对事故响应(见第16章)也很有用,因为尽管有各种安全防护措施,成功的攻击仍然可能发生。正如我们在许多章节中所提到的,日志在事故响应中是至关重要的,因为它们使调查者能够“组合”入侵拼图中互相脱节的各个部分。
2. 网络守护进程日志
网络守护进程通常记录如下类型的安全相关消息:
示例(Linux syslog):
来自Linux syslog的这条消息显示了远程用户“anton”成功地连接到POP3邮件守护进程。
失败的服务器连接。示例(Linux syslog):
来自Linux syslog的这条消息说明telnet服务的一次失败连接(因为访问控制)。
连接建立,但是不允许访问。示例(Linux syslog):
来自Linux syslog的这条消息说明对Secure Shell服务器的连接不成功。
各种故障消息。示例(Linux syslog):
来自Linux syslog的这条消息说明sendmail守护进程无法继续与客户端通信(可能是一个垃圾程序)。
各种状态消息。示例(Linux syslog):
来自Linux syslog的这条消息表示一次成功的电子邮件传输。
网络守护进程日志通常和一般的操作系统日志一样有用。实际上,它们常常被记录在同一个位置,例如,在Unix和Windows上,它们使用相同的日志记录机制。
网络守护进程提供了远程进入系统的最常见途径,许多攻击以此为目标。因此,建立健全的日志记录对于这种环境很关键。
3.应用程序日志
应用程序还记录各种有趣的消息。我们可以将应用程序记录的日志归纳为如下列表:
Elasticsearch全观测技术解析与应用(构建日志、指标、APM统一观测平台) 立即下载
相关文章
- 使用Hive的正则解析器RegexSerDe分析nginx日志
- 常用服务器日志分析命令大全
- ELK实时日志分析平台环境部署--完整记录(ElasticSearch+Logstash+Kibana )
- SpringBoot2项目部署到Linux(Centos)Log日志输出问号
- [ELFK]日志分析系统搭建---Filebeat
- Linux:文件系统与日志分析
- 基于kafka的日志收集分析平台
- 日志易:IT 运维分析及海量日志搜索的实践之路(上)
- Linux-016-Centos Shell 遍历文本信息,通过流水号批量获取日志信息并保存结果
- 《日志管理与分析权威指南》一1.3 看看接下来的事情
- 《日志管理与分析权威指南》一1.4 被低估的日志
- 《日志管理与分析权威指南》一1.8 小结
- 《日志管理与分析权威指南》一2.1 概述
- 《日志管理与分析权威指南》一2.2.1 日志格式和类型
- 《日志管理与分析权威指南》一2.4 小结
- 《日志管理与分析权威指南》一第3章
- 《日志管理与分析权威指南》一3.2 日志来源
- 《日志管理与分析权威指南》一3.2.2 SNMP
- 《日志管理与分析权威指南》一3.2.3 Windows事件日志
- 《日志管理与分析权威指南》一3.3.2 安全相关的网络日志
- 《日志管理与分析权威指南》一3.4 小结
- 《日志管理与分析权威指南》一导读
- ES (ElasticSearch) 简易解读(三)企业级日志分析ELK架构的搭建与使用
- 快速搭建ELK日志分析系统
- Springboot 整合Logback,输出日志到文件
- 学习Coding-iOS开源项目日志(五)
- Windows和Linux网络安全应急响应基础技能——如何进行系统排查以及检测恶意用户登录和网络流量日志分析
- 快速搭建ELK日志分析系统
- MFC 打印日志