google php Windows centos Ubuntu apache 云计算 mysql 微软 开源 shell nginx linux Firefox Python java 编程 Android wordpress 程序员

《日誌管理與分析權威指南》一3.3 日誌來源分類

3.3 日誌來源分類

本節提供了一些生成日誌數據的系統和應用程序實例。

3.3.1 安全相關主機日誌

這一類別涵蓋由操作系統組件、各種網絡服務日誌和其他運行於系統之上的應用程序生成的主機日誌。雖然許多消息只是(或者主要是)為性能跟蹤、審計或者故障排除而生成的,但是大部分在安全上都有作用。
1.?操作系統日誌
操作系統記錄各種消息。我們來研究一些操作系統生成的安全相關消息:

認證:用戶已經登錄、無法登錄等。
示例(Linux syslog):
image

這個例子是Linux syslog中的一行,與遠程用戶用Secure Shell守護進程認證相關:

系統啟動、關閉和重啟。
示例(Linux syslog):
image

這個例子中的Linux syslog與系統關閉相關。

服務啟動、關閉和狀態變化。
示例(Solaris syslog):
image

這個例子是與sendmail守護進程啟動相關的Linux syslog行。

服務崩潰。
示例(Linux syslog):
image

這個例子是與ftp服務器偶然關閉(可能因為崩潰或者kill命令)相關的Linux syslog行。

雜項狀態消息。
示例(Linux syslog):
image

這個例子是與時間同步守護進程(NTPD)相關的Linux syslog行。
總體來說,操作系統消息被視為安全相關有兩個主要原因:
1)它們可用於入侵檢測,因為成功和失敗的攻擊通常在日誌中留下獨特的痕跡。大部分入侵檢測系統(HIDS)和安全信息及事件管理系統(SIEM)收集這類消息,做出過去和將要出現的威脅的判斷(在日誌中發現攻擊者偵察活動的痕跡時)。
2)它們對事故響應(見第16章)也很有用,因為盡管有各種安全防護措施,成功的攻擊仍然可能發生。正如我們在許多章節中所提到的,日誌在事故響應中是至關重要的,因為它們使調查者能夠“組合”入侵拼圖中互相脫節的各個部分。
2. 網絡守護進程日誌
網絡守護進程通常記錄如下類型的安全相關消息:

建立到服務的連接。
示例(Linux syslog):
image

來自Linux syslog的這條消息顯示了遠程用戶“anton”成功地連接到POP3郵件守護進程。

失敗的服務器連接。
示例(Linux syslog):
image

來自Linux syslog的這條消息說明telnet服務的一次失敗連接(因為訪問控制)。

連接建立,但是不允許訪問。
示例(Linux syslog):
image

來自Linux syslog的這條消息說明對Secure Shell服務器的連接不成功。

各種故障消息。
示例(Linux syslog):
image

來自Linux syslog的這條消息說明sendmail守護進程無法繼續與客戶端通信(可能是一個垃圾程序)。

各種狀態消息。
示例(Linux syslog):
image

來自Linux syslog的這條消息表示一次成功的電子郵件傳輸。
網絡守護進程日誌通常和一般的操作系統日誌一樣有用。實際上,它們常常被記錄在同一個位置,例如,在Unix和Windows上,它們使用相同的日誌記錄機制。
網絡守護進程提供了遠程進入系統的最常見途徑,許多攻擊以此為目標。因此,建立健全的日誌記錄對於這種環境很關鍵。
3.應用程序日誌
應用程序還記錄各種有趣的消息。我們可以將應用程序記錄的日誌歸納為如下列表:

應用程序用戶活動
特權用戶活動
關鍵的例行活動
重新配置

延伸阅读

    评论