Windows
日志分析是应急响应中的重要环节。很多问题通过日志分析就可以直接找到解决方法。
日志分析对象主要是系统日志,web中间件日志,数据库日志,以及其他安全设备收集到的日志。
日志分析
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。
用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。
Windows主要有以下三类日志记录系统事件:
• 应用程序日志
• 系统日志
• 安全日志
系统和应用程序日志存储着故障排除信息,对于系统管理员更为有用。 安全日志记录着事件审计信息,包括用户验证(登录、远程访等)和特定用户在认证后对系统做了什么,对于调查人员而言,更有帮助。 作为应急人员最先关注的应该是安全日志。包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你决问题。
默认位置:%SystemRoot%\System32\Winevt\Logs\Application.evtx
应用程序日志
记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
默认位置: %SystemRoot%\System32\Winevt\Logs\System.evtx