操作系统日志分析中常见的搜索条目 20160715

总结了一些常见的日志分析中需要搜索的内容 

在linux/unix上寻找的关键词 

1.成功的用户登录                “Accepted password,” “Accepted publickey,” “session opened” 
2.失败的用户登录                “authentication failure”,"invalid user","Failed password" 
3.用户注销                       “session closed” 
4.用户账户更改或删除             “password changed,” “new user/account,” “delete user/account”,account removed 
5.sudo操作                       “sudo: … COMMAND=…,” “FAILED su” 
6.服务失败                        “failed” 或 “failure” 

windows常见事件ID搜索 
1.用户登录/注销事件              成功登陆528,540;失败登陆529-537,539;注销538,551 
2.用户账户更改                   创建624;启用626;更改642;禁用629;删除630 
3.密码更改                       修改为原密码:628;修改为其他:627 
4.服务启动或者停止               7035,7036 
5.对象拒绝访问(如果启用审计)    560,567 

还有那些大家可以补充。

感谢(0)
分享到:0
  1. 1#剑芯 (大包整多两笼)  | 2016-07-15 11:12

    1. 成功登录的你只列了ssh登录,而且还没列全。
    2. 失败登录的你只列了sshd调用pam的,而且也没列全
    3. 注销事件其实我代码从来没考虑过
    4. 这类你归结的基本全了,但是少了group的,group的格式和user的格式是一致的。但是要考虑有些系统新增用户的时候,新增的组和用户是同一条日志
    5. su和sudo都有日志,但是只有sudo记录了命令
    6. 失败关毛事
    8. 还有很多其他操作的,比如crontab,iptables,都会打日志。你这梳理得太少了。
    做日志监控、审计、分析,很多时候是xxxx,不是xxxx
    不能再多说了,要收费

  2. 2#剑芯 (大包整多两笼)  | 2016-07-15 11:18

    还有一条,我不知道你准备怎么处理。反正我之前是要求运维把这个功能关掉
    last message repeated for xxx times

  3. 3#剑芯 (大包整多两笼)  | 2016-07-15 11:19

    总之,linux的syslog日志的接收、识别、处理、分析、监控、审计、信息采集其实是一个挺复杂的活。

  4. 4#剑芯 (大包整多两笼)  | 2016-07-15 11:22

    windows的也做过一阵
    登录成功失败,你列的只是local login和local auth
    在企业内部,还存在大量的remote login、remote auth、domain login、domain auth,事件id是不一样的
    另外,对于interactive login,还至少分为console、desktop、session only三种
    而且,对于interactive login,特别对于domain login,按照具体的安全策略、本地策略、其他配置,一定至少分为
    auth
    grant
    login
    三个步骤
    一次interactive login的失败,可能是这三个步骤中的任何一个步骤的失败,日志格式、内容、事件id也是不一样的

  5. 5#感谢(1)剑芯 (大包整多两笼)  | 2016-07-15 11:23

    装逼完成,收工领盒饭

  6. 6#z_zz_zzz  | 2016-07-15 12:56

    @剑芯 屌屌屌

  7. 7#shewey (挖洞)  | 2016-07-15 12:59

    @剑芯 last message repeated for xxx times  这个东西是协议自身的有一个次数限制时候生成的。
    linux中大部分登陆情况后续都要都是ssh登陆。我这里只是列出了常见的内容,不全的还需要大家补充啊。

  8. 8#shewey (挖洞)  | 2016-07-15 13:43

    @剑芯 windows日志也研究的这么多。厉害

  9. _Evil ()  | 2016-07-15 14:20

    @剑芯 厉害

阅读更多
换一批

没有更多推荐了,返回首页