LOG日志溯源取证总结

最新推荐文章于 2024-01-07 15:35:00 发布
最新推荐文章于 2024-01-07 15:35:00 发布
阅读量1.2k 收藏 12
点赞数
文章标签: 操作系统 运维 系统安全
原文链接:http://www.cnblogs.com/hookjoy/p/11117241.html
版权

windows操作系统事件日志

C:\Windows\System32\winevt\Logs\ *( XP C:\Windows\System32)

  • 应用程序日志 App Event.Evtx(Application.evtx)
  • 安全日志 SecEvent.Evtx
  • 系统日志 SysEvent.Evtx

USB设备第一次连接电脑:setupapi.log

Windows7/8:\Windows\inf\setupapi.dev.log \ Windows XP:\Windows\setupapi.log \

Microsoft- Windows- DriverFrameworks-UserMode/Operational Event Log

  • 加载USB设备驱动时,日志ID号为1003.2003.2010.2004.2105等
  • USB设备从系统移除,日志ID号为2100.2102.1006.2900等

ParentIDPrefix

Linux操作系统事件日志

由/etc/syslog.conf文件配置 格式:facility.loglevel logtarget

facility(日志级别)描述
auth安全性/验证信息(负面)
authpriv安全性/验证信息
cron系统定时任务
daemon其他系统守护进程
kern内核信息
lpr行打印字系统
mail邮件子系统
news新闻消息
syslog内部syslog消息
user一般用户级消息
uucpUUCP子系统
Local0-local7自定义的级别
loglevel(日志级别)描述
emerg系统已不可用
alert必须马上采取行动
crit危急
err错误
warning警告
loglevel描述
notice普通但重要的情形
info通知信息
debug调试信息
logtarget(日志信息的存放位置)描述
/path/filename将消息追加在指定文件的尾部
@loghost将消息写到loghost的日志服务器中
/path/named_pipe将消息写到指定的管道
User1,User2将消息写到所列的用户
*将消息写到所有的用户
/dev/console将消息写到指定的终端

例:kern.notice/var/log/kern.log 表示将内核的优先级别为notice或者更高级别的日志信息纪录到/var/log/kern.log文件中

常见的日志文件及其查看方法

日志文件记录信息查看方法
/var/log/secure记录系统安全信息直接查看
/var/log/boot.log记录系统引导过程中能够发生的事件(Linux系统开机自检过程显示的信息)直接查看
/var/log/message主要记录系统所发生的错误信息直接查看
/var/log/mail记录发送到系统或从系统发出的电子邮件的活动直接查看
/var/log/xferlog记录FTP会话直接查看
/var/log/cron记录例行性服务信息直接查看
User1,User2记录su命令信息直接查看
/var/adm/sulog记录用户最近成功登录事件和最后一次不成功登录事件lastlog命令
/var/log/lastlog记录每个用户登录、注销及系统启动、停机的事件last命令
/var/log/wtmp记录与当前登录用户相关的信息who或users命令
/var/log/utmp记录命令执行记录直接查看
~/ .bash_ history记录例行性服务信息直接查看
web日志文件记录web访问信息直接查看
路由器日志文件记录路由器相关信息直接查看
WWW日志、FTP日志、邮件日志默认存放在C:\windows\system32\logfiles\,该目录下的W3SVC1目录存放WWW日志、FTP日志和邮件日志默认存放位置,MSFTPSVC1存放FTP日志、MSSMTPSVC1存放SMTP日志,文件名格式默认为ex*.log.

转载于:https://www.cnblogs.com/hookjoy/p/11117241.html

weixin_30273931
关注
  • 0
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络攻防技术——溯源取证与分析实
学习记录
02-28 6531
一、题目 溯源取证分析作为网络攻防过程中重要环节,准确找到攻击者的入侵线索(尤其是攻击突破口、攻击IP地址、域名、工具等信息),对于企业或者团队安全运营团队来说都是必备技能。常规攻击取证过程中往往会结合流量、Web访问日志、终端系统或者软件日志等信息来挖掘或者推断相关线索。本实通过网络流量、日志溯源环境进行真实案例模仿,通过实战化分析来锻炼学生的取证溯源能力,从而加深大家对于网络攻防的实战化水平。在本实结束时,学生应该能够具备对网络流量和日志的基本分析能力。 二、过程 一、Webshell数据包(we
qt封装的spdlog日志
04-27
spdlog直接使用头文件,无cpp,支持后续的进一步开发 每日日志:在单独的文件夹中生成 每天自动生成日志,现策略为检测到文件数量超过30个时自动删除之前的文件 循环日志:在单独的文件夹中生成 日志文件存储在...
溯源取证/应急排查
qq_44657899的博客
11-16 2189
文件取证 powershell历史 存放了powershell的执行历史 %APPDATA%\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt JumpLists 记录用户最近使用的文档和应用程序,方便用户快速跳转到指定文件,可用于寻找可疑文件,排查木马病毒。 位置: %APPDATA%\Microsoft\Windows\Recent %UserProfile%\Recent # 查询: dir %APPDATA%\Mic
linux 日志 取证,Linux系统取证
weixin_32286661的博客
05-01 235
Linux系统取证1、查看系统信息name -a #查看内核/操作系统/CPU1.pnghead -n 1 /etc/issue #查看操作系统版本2.pngcat /proc/cpuinfo #查看cpu信息3.pngenv #查看系统环境变量4.png2、用户及组信息w #查看活动用户5.pngcut -d: -f1 /etc/passwd #查看系统所有用户6.pngcut -d: ...
溯源取证-钓鱼取证 基础篇
weixin_48421613的博客
04-05 965
某钱包用户遭遇钓鱼攻击,攻击者​利用钓鱼页面获取用户钱包助记词,钱包助记词通常为12个字符串组成,是用来重置/找回用户密码用的。
日志输出库spdlog
12-29
`spdlog`是一个高效、现代且功能丰富的C++日志库,它为开发者提供了灵活的日志记录解决方案。这个库的设计目标是提供高性能、轻量级的日志记录,同时保持易于使用和配置。在本文中,我们将深入探讨`spdlog`的主要...
C#的LOG日志读写操作
06-02
在提供的压缩包文件中,可能包含了一个名为`log`的文件,这可能是日志文件的实例,或者是实现了日志功能的代码文件。如果它是代码文件,你可能需要查看其具体的实现方式,理解作者如何处理日志读写接口以及路径设置...
Wpf log4net 日志
12-07
同样,你可以使用`log.Fatal`, `log.Warn`, `log.Info`, `log.Debug`等方法记录不同级别的日志信息。 通过这种方式,你可以在WPF应用中实现log4net的日志管理,每天生成一个新的日志文件,便于问题排查和性能监控。...
用c++写的 log 日志文件
01-16
此外,C++标准库并没有提供内置的日志框架,但在实际开发中,很多开发者会使用第三方库,如Glog、spdlog等,它们提供了更强大、更灵活的功能,例如异步日志处理、自定义格式化和日志过滤等。 总之,通过理解日志...
Web服务器日志取证分析方法
12-25
Web服务器日志取证分析的方法和工具技巧,入侵检测和证据固定的方法
可意识溯源的入侵检测和取证分析的结合方法
04-06
可意识溯源的入侵检测和取证分析的结合方法
张璇-勒索软件取证溯源
02-13
2018年国家会议中心 ISC大会干货 张璇-勒索软件取证溯源
防火墙日志取证及分析
ITmoster的博客
04-20 1429
Firewall Analyzer 是一个安全日志监控与审计平台,能够实时将企业网络安全设施(如防火墙、代理服务器、入侵检测/防御系统和VPN等)在运行过程中产生的安全日志和事件以及配置日志汇集到审计中心,进行全网综合安全分析。帮助安全管理人员快速识别病毒攻击、异常流量以及用户非法行为等重要的安全信息,从而运用合理的安全策略,保证网络的安全。
溯源取证 - windows内存取证 - 中级
weixin_48421613的博客
06-07 1855
此篇文章,我们将学习windows内存取证技巧,包括学习windows内存取证常用目录文件、使用到的取证工具,技巧;
【实战学习】电子数据取证专题——网络数据分析溯源(下)
weixin_34138377的博客
03-14 579
网络数据分析溯源(新增用户的×××号)背景介绍某公司安全工程师抓取到一段Wireshark数据包,发现有人利用WebShell操作了数据库,请找到新增的用户的×××号。实训目标1、掌握“Wireshark”的基本使用方法;2、了解数据在网络中传输的过程和协议;靶场地址:https://www.mozhe.cn/bug/detail/146网络数据分析溯源(发布文章的IP地址)...
国产神器 - Web日志取证分析工具
weixin_34018169的博客
03-31 1055
工具简介:还记得我上一篇Blog《云端博弈——云安全***取证及思考》中那个工具吗?通常在调查***事件的时候,工具化能最大限度的提升效率,且减少人为主观误判。此工具可从单一可疑线索作为调查起点,遍历所有可疑url(CGI)和来源IP。使用方法:PerlLogForensics.pl-filelogfile-websvr(nginx|httpd)...
游戏黑灰产识别和溯源取证
ss810540895的博客
08-14 1759
游戏黑灰产的对抗工作,不是简单的一环,而是一个完整的产业链。开发各类黑灰产工具,具备一定的研发能力,大多使用Python、Lua、易语言、按键精灵、TC脚本,有较强的反侦查和反检测能力,并且都具有固定的中游销售渠道(代理或内部工作室),多为兼职人员。溯源处理,通过对游戏登录的用户信息,用户的设备信息,用户游戏中的行为等数据,对这些数据进行做加工,进行情报溯源处理。溯源处理,通过对游戏登录的用户信息,用户的设备信息,用户游戏中的行为等数据,对这些数据进行做加工,进行情报溯源处理。6、批量行为都是有迹可循的。
网络攻防--溯源取证分析实
最新发布
qq_64389397的博客
01-07 1500
splfileobject是PHP5中新加入的一个文件访问类,它继承于php标准库(SPL)中的Iterator和SeekableIterator接口,并提供了对文件的高效访问和处理。通过导出http对象,查看http的流量交互对象,可以看到在后面的分组中,主要是与1.php进行流量交互,可以确定1.php就是攻击者上传的shell文件。在日志文件中查找tmp,发现一串URL编码的数据,进行解密,发现黑客通过filename参数向/tmp目录传递了一个sess_car文件。然后就可以查看https协议了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值