Windows、Linux、web 日志分析

Windows

日志分析是应急响应中的重要环节。很多问题通过日志分析就可以直接找到解决方法。
日志分析对象主要是系统日志，web中间件日志，数据库日志，以及其他安全设备收集到的日志。

日志分析

Windows系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。
用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。

Windows主要有以下三类日志记录系统事件：
• 应用程序日志
• 系统日志
• 安全日志

系统和应用程序日志存储着故障排除信息，对于系统管理员更为有用。 安全日志记录着事件审计信息，包括用户验证（登录、远程访等）和特定用户在认证后对系统做了什么，对于调查人员而言，更有帮助。 作为应急人员最先关注的应该是安全日志。包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件，例如数据库程序可以在应用程序日志中记录文件错误，程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况，那么我们可以从程序事件日志中找到相应的记录，也许会有助于你决问题。

默认位置：%SystemRoot%\System32\Winevt\Logs\Application.evtx

应用程序日志

记录操作系统组件产生的事件，主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。

默认位置： %SystemRoot%\System32\Winevt\Logs\System.evtx

系统日志