首先呢,做日志审计最重要的几点就是WWWH。
一:W--WHO:知道是谁
W--WHERE:IP地址
W--WHAT:干了什么
H--HOW:怎么干的。
二:理清思路以后,来总结最重要的几个日志命令:
1.yum日志:该日志存放的是关于安装以及更新等相关信息。
2.httpd日志:该日志用于存放httpd的日志。
3.utmp日志:记录了当前正在登录的系统的信息,需要使用 who 命令或者 w 命令。
4.wtmp日志:记录了当前和历史登录的用户信息,需要使用 last 命令进行查看。
5.btmp日志:记录了登录失败的登录信息,需要使用 lastb 进行查看。从此处可查看暴力破解异常登录的IP地址。
三:关于查看日志:
1.首先可看登录次数较多的IP地址以及账号,查看非本地IP地址或者异常IP,是否有尝试破解登录等操作。
2.查看时间点,看是否有除自己以外的异常登录的时间点。以及是否有多项同一时间点登录的异常非人为操作。
3.查看是否远程连接登录。
4.查看服务器响应状态码。是否有 404 , 304 之后的200。如果有,说明该账户已经被破解通过对文件进行修改或者进行下载等操作。
5.在状态码前面可查看该账户访问过的文件夹,状态码后面可查看该账户所使用的浏览器客户端页面的来源地址以及浏览器类型和版本号等信息以便溯源。
四:其他日志:
1.messages日志:记录了系统运行过程中执行命令或服务的信息和错误信息。
2.secure日志:记录了用户和用户组变化情况、用户登录认证情况。