五、 日志分析
5.1 日志分析介绍
日志就是按照一定的规则将操作系统、应用程序、网络设备中的发生的事件记录下来,对系统管理、网络安全策略实现状况的评估及其他安全防御系统的评估都是必不可少的证据。
5.1.1 日志文件的特点及日志分析的目的
1.日志文件的特点
(1)多样性
(2)可读性差
(3)日志记录的数据量很大
(4)不容易获取
(5)不同日志之间存在某种必然的联系
(6)容易被篡改
2.日志分析的目的:对用户行为进行审计,监控恶意行为,对入侵行为的检测,系统资源的监控,帮助恢复系统,评估入侵行为造成的损失,计算机犯罪的取证,调查报告的生成。
5.1.2 日志的分类
从日志产生的来源角度分类,日志主要分为三大类:操作系统日志、网络设备日志(路由交换设备、防火墙等安全设备)、应用服务日志(Web等各种网络应用)。
1.日志的采集和存储
数据采集:(1)标准协议接收:日志分