日志审计分析实验(一):安装Linux实验环境与了解centOS系统日志

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

一、VMware16虚拟机中安装Centos7(含图形化界面)

注:由于centOS8已经于2021年停止被支持,因此本实验选用centos7作为实验环境

1.下载ISO文件

网址:https://www.centos.org/centos-linux/
点击图示下载iso镜像文件:
在这里插入图片描述
选择地理位置较近的镜像网站,此处选择北京外国语大学:
在这里插入图片描述
开始下载:
在这里插入图片描述
速度尚可:
在这里插入图片描述

2.创建虚拟机:

①打开vm16,选择“创建新的虚拟机”:
在这里插入图片描述
②选择“自定义”,点击下一步:

在这里插入图片描述
③点击下一步:
在这里插入图片描述
④选择刚刚下载好的镜像文件:
在这里插入图片描述
⑤给虚拟机起个名字,选择安装地址:
在这里插入图片描述
⑥为虚拟机指定内核数量,此处用2/2:
在这里插入图片描述
⑦虚拟机内存,指定2048M:
在这里插入图片描述
⑧网络类型选用NAT:
在这里插入图片描述

⑨I/O控制器类型选用默认,磁盘类型选用默认:
在这里插入图片描述

在这里插入图片描述

⑩创建新磁盘,最大磁盘大小选用30G:
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
11、完成
在这里插入图片描述

3.centOS7系统配置(图形化界面)

①选择安装centOS7:

在这里插入图片描述

②选择中文-简体中文:
在这里插入图片描述
③选择软件安装,选择带GUI的服务器,右侧只选择兼容性、开发工具,左上角点击完成(目的是建立一个带桌面的虚拟机,方便前期学习,后期可选择最小化安装)
在这里插入图片描述
④网络配置,打开以太网开关:
在这里插入图片描述

⑤点击开始安装,在安装过程中可设置root账户密码,创建普通用户,整个安装过程大概三四十分钟,耐心等待:
在这里插入图片描述
在这里插入图片描述
⑥安装完成后,重新启动:
在这里插入图片描述
在这里插入图片描述

⑦快捷键alt+f2输入gnome-terminal回车进入终端:
在这里插入图片描述

在这里插入图片描述

4.配置网络

①虚拟机终端输入ifconfig获取虚拟机ip地址:
192.168.119.140
在这里插入图片描述
②主机cmdipconfigip输入ipconfig获取主机ip地址
192.168.119.1
在这里插入图片描述
③主机和虚拟机互相ping,观察是否能ping通,成功:
在这里插入图片描述
在这里插入图片描述
注意,在windows系统中默认发送4个ICMP数据包,但linux系统中默认一直发送,可以用ctrl+C终止发送。

二、了解centOS系统日志

1.CentOS中日志保存的位置

centos 中的主要log文件都存储在 /var/log/ 目录
在这里插入图片描述

2.boot.log,messages,secure,dnf,cron日志文件的作用

    ①boot.log:系统启动日志  
    ②messages:系统服务及日志,包括服务的信息,报错等等
    ③secure:系统登陆日志(系统认证信息日志)
    ④dnf:yum软件安装的日志
    ⑤cron:系统定时任务日志

3、掌握boot.log,messages,secure,dnf,cron日志的文件格式,截取部分日志内容,并标出每个字段的含义。

①boot.log:
该文件记录了系统在引导过程中发生的事件,就是Linux系统开机自检过程显示的信息
在这里插入图片描述

②messages:
在这里插入图片描述

③secure:
在这里插入图片描述

④dnf:

在这里插入图片描述

⑤cron:
在这里插入图片描述

4、掌握btmp、wtmp、lastlog文件的查看方法

这三个文件记录了linux用户的登录信息,这三个文件都是二进制数据文件,并且三个文件结构完全相同,是由/usr/include/bits/utmp.h文件定义了这三个文件的结构体。

①btmp:/var/log/btmp:记录失败的登录尝试信息,默认由lastb命令查看
②wtmp:/var/log/wtmp:记录当前正在登录和历史登录系统的用户信息,默认由last命令查看
③lastlog:/var/log/lastlog:列出所有用户最近登录的信息,或者指定用户的最近登录信息。

以下使用七个命令查看这三个文件:
①lastlog:
列出所有用户最近登录的信息,或者指定用户的最近登录信息。lastlog引用的是/var/log/lastlog文件中的信息,包括login-name、port、last login time
在这里插入图片描述 ② last
列出当前和曾经登入系统的用户信息,它默认读取的是/var/log/wtmp文件的信息。输出的内容包括:用户名、终端位置、登录源信息、开始时间、结束时间、持续时间。注意最后一行输出的是wtmp文件起始记录的时间。当然也可以通过last -f参数指定读取文件,可以是/var/log/btmp、/var/run/utmp。
在这里插入图片描述

③ lastb
列出失败尝试的登录信息,和last命令功能完全相同,只不过它默认读取的是/var/log/btmp文件的信息。当然也可以通过last -f参数指定读取文件,可以是/var/log/btmp、/var/run/utmp
在这里插入图片描述

④ ac
输出所有用户总的连接时间,默认单位是小时。由于ac是基于wtmp统计的,所以修改或者删除wtmp文件都会使ac的结果受影响。(Suse默认没有该命令)

在这里插入图片描述

⑤ who
查看当前登入系统的用户信息。其中who -m等效于who am i。

语法who [OPTION]… [ FILE | ARG1 ARG2 ]。

who命令强大的一点是,它既可以读取utmp文件也可以读取wtmp文件,默认没有指定FILE参数时,who查询的是utmp的内容。当然可以指定FILE参数,比如who -aH /var/log/wtmp,则此时查看的是wtmp文件。

查看当前运行级别:

在这里插入图片描述

查看登录用户和用户数≈users

在这里插入图片描述

⑥ w
查看当前登入系统的用户信息及用户当前的进程(而who命令只能看用户不能看进程)。该命令能查看的信息包括字系统当前时间,系统运行时间,登陆系统用户总数及系统1、5、10分钟内的平均负载信息。后面的信息是用户,终端,登录源,login time,idle time,JCPU,PCPU,当前执行的进程等。

w的信息来自两个文件:用户登录信息来自/var/run/utmp,进程信息来自/proc/.

在这里插入图片描述

⑦ users
显示当前正在登入统的用户名。语法是users [OPTION]… [FILE]。如果未指定FILE参数则默认读取的是/var/run/utmp,当然也可以指定通用相关文件/var/log/wtmp,此时输出的就不是当前用户了。

在这里插入图片描述

三、了解Windows系统日志

1.查看windows日志中的安全日志

①右键点击此电脑,选择管理
在这里插入图片描述
②在弹出的计算机管理窗口,点击事件查看器-windows日志-安全
在这里插入图片描述

2.登录实验

为windows设置账号密码,并尝试登陆,将登陆失败和成功的日志筛选出来(截图),标出登陆账号、登录时间、登录地址。
在这里插入图片描述
失败:
在这里插入图片描述
成功:
在这里插入图片描述

  • 8
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值