日志审计分析实验(一):安装Linux实验环境与了解centOS系统日志

已于 2022-03-27 14:57:26 修改
阅读量3.7k 收藏 26
点赞数 8
分类专栏: 日志分析 文章标签: 日志分析 linux
于 2022-03-26 15:56:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46447549/article/details/123714815
版权

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

一、VMware16虚拟机中安装Centos7(含图形化界面)

注:由于centOS8已经于2021年停止被支持,因此本实验选用centos7作为实验环境

1.下载ISO文件

网址:https://www.centos.org/centos-linux/
点击图示下载iso镜像文件:
在这里插入图片描述
选择地理位置较近的镜像网站,此处选择北京外国语大学:
在这里插入图片描述
开始下载:
在这里插入图片描述
速度尚可:
在这里插入图片描述

2.创建虚拟机:

①打开vm16,选择“创建新的虚拟机”:
在这里插入图片描述
②选择“自定义”,点击下一步:

在这里插入图片描述
③点击下一步:
在这里插入图片描述
④选择刚刚下载好的镜像文件:
在这里插入图片描述
⑤给虚拟机起个名字,选择安装地址:
在这里插入图片描述
⑥为虚拟机指定内核数量,此处用2/2:
在这里插入图片描述
⑦虚拟机内存,指定2048M:
在这里插入图片描述
⑧网络类型选用NAT:
在这里插入图片描述

⑨I/O控制器类型选用默认,磁盘类型选用默认:
在这里插入图片描述

在这里插入图片描述

⑩创建新磁盘,最大磁盘大小选用30G:
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
11、完成
在这里插入图片描述

3.centOS7系统配置(图形化界面)

①选择安装centOS7:

在这里插入图片描述

②选择中文-简体中文:
在这里插入图片描述
③选择软件安装,选择带GUI的服务器,右侧只选择兼容性、开发工具,左上角点击完成(目的是建立一个带桌面的虚拟机,方便前期学习,后期可选择最小化安装)
在这里插入图片描述
④网络配置,打开以太网开关:
在这里插入图片描述

⑤点击开始安装,在安装过程中可设置root账户密码,创建普通用户,整个安装过程大概三四十分钟,耐心等待:
在这里插入图片描述
在这里插入图片描述
⑥安装完成后,重新启动:
在这里插入图片描述
在这里插入图片描述

⑦快捷键alt+f2输入gnome-terminal回车进入终端:
在这里插入图片描述

在这里插入图片描述

4.配置网络

①虚拟机终端输入ifconfig获取虚拟机ip地址:
192.168.119.140
在这里插入图片描述
②主机cmdipconfigip输入ipconfig获取主机ip地址
192.168.119.1
在这里插入图片描述
③主机和虚拟机互相ping,观察是否能ping通,成功:
在这里插入图片描述
在这里插入图片描述
注意,在windows系统中默认发送4个ICMP数据包,但linux系统中默认一直发送,可以用ctrl+C终止发送。

二、了解centOS系统日志

1.CentOS中日志保存的位置

centos 中的主要log文件都存储在 /var/log/ 目录
在这里插入图片描述

2.boot.log,messages,secure,dnf,cron日志文件的作用

    ①boot.log:系统启动日志  
    ②messages:系统服务及日志,包括服务的信息,报错等等
    ③secure:系统登陆日志(系统认证信息日志)
    ④dnf:yum软件安装的日志
    ⑤cron:系统定时任务日志

3、掌握boot.log,messages,secure,dnf,cron日志的文件格式,截取部分日志内容,并标出每个字段的含义。

①boot.log:
该文件记录了系统在引导过程中发生的事件,就是Linux系统开机自检过程显示的信息
在这里插入图片描述

②messages:
在这里插入图片描述

③secure:
在这里插入图片描述

④dnf:

在这里插入图片描述

⑤cron:
在这里插入图片描述

4、掌握btmp、wtmp、lastlog文件的查看方法

这三个文件记录了linux用户的登录信息,这三个文件都是二进制数据文件,并且三个文件结构完全相同,是由/usr/include/bits/utmp.h文件定义了这三个文件的结构体。

①btmp:/var/log/btmp:记录失败的登录尝试信息,默认由lastb命令查看
②wtmp:/var/log/wtmp:记录当前正在登录和历史登录系统的用户信息,默认由last命令查看
③lastlog:/var/log/lastlog:列出所有用户最近登录的信息,或者指定用户的最近登录信息。

以下使用七个命令查看这三个文件:
①lastlog:
列出所有用户最近登录的信息,或者指定用户的最近登录信息。lastlog引用的是/var/log/lastlog文件中的信息,包括login-name、port、last login time
在这里插入图片描述 ② last
列出当前和曾经登入系统的用户信息,它默认读取的是/var/log/wtmp文件的信息。输出的内容包括:用户名、终端位置、登录源信息、开始时间、结束时间、持续时间。注意最后一行输出的是wtmp文件起始记录的时间。当然也可以通过last -f参数指定读取文件,可以是/var/log/btmp、/var/run/utmp。
在这里插入图片描述

③ lastb
列出失败尝试的登录信息,和last命令功能完全相同,只不过它默认读取的是/var/log/btmp文件的信息。当然也可以通过last -f参数指定读取文件,可以是/var/log/btmp、/var/run/utmp
在这里插入图片描述

④ ac
输出所有用户总的连接时间,默认单位是小时。由于ac是基于wtmp统计的,所以修改或者删除wtmp文件都会使ac的结果受影响。(Suse默认没有该命令)

在这里插入图片描述

⑤ who
查看当前登入系统的用户信息。其中who -m等效于who am i。

语法who [OPTION]… [ FILE | ARG1 ARG2 ]。

who命令强大的一点是,它既可以读取utmp文件也可以读取wtmp文件,默认没有指定FILE参数时,who查询的是utmp的内容。当然可以指定FILE参数,比如who -aH /var/log/wtmp,则此时查看的是wtmp文件。

查看当前运行级别:

在这里插入图片描述

查看登录用户和用户数≈users

在这里插入图片描述

⑥ w
查看当前登入系统的用户信息及用户当前的进程(而who命令只能看用户不能看进程)。该命令能查看的信息包括字系统当前时间,系统运行时间,登陆系统用户总数及系统1、5、10分钟内的平均负载信息。后面的信息是用户,终端,登录源,login time,idle time,JCPU,PCPU,当前执行的进程等。

w的信息来自两个文件:用户登录信息来自/var/run/utmp,进程信息来自/proc/.

在这里插入图片描述

⑦ users
显示当前正在登入统的用户名。语法是users [OPTION]… [FILE]。如果未指定FILE参数则默认读取的是/var/run/utmp,当然也可以指定通用相关文件/var/log/wtmp,此时输出的就不是当前用户了。

在这里插入图片描述

三、了解Windows系统日志

1.查看windows日志中的安全日志

①右键点击此电脑,选择管理
在这里插入图片描述
②在弹出的计算机管理窗口,点击事件查看器-windows日志-安全
在这里插入图片描述

2.登录实验

为windows设置账号密码,并尝试登陆,将登陆失败和成功的日志筛选出来(截图),标出登陆账号、登录时间、登录地址。
在这里插入图片描述
失败:
在这里插入图片描述
成功:
在这里插入图片描述

国际知名观众
关注
专栏目录
2021-08-26 网安实验-Linux操作系统加固之Linux系统安全审计
时光隧道
08-26 5万+
了解audit配置文件 本任务将初步了解Linux审计系统的配置文件。 1、确认Linux审计系统已启动。 1)登录到实验机上,执行如下命令查看audit进程是否启动。 2)如未启动,执行下面命令启动audit进程: 2、查看audit配置文件。 1)audit在启动时会读取2个配置文件: /etc/audit/auditd.conf #守护程序的配置文件; /etc/audit/audit.rules #守护程序的规则文件; 2)在命令行下使用vi打开配置文件,观察其内容。 audit.co
Linux--文件系统深入理解与日志分析 理论+数据恢复实验(inode与block详解,软链接与硬链接详解与总结,误删文件恢复实验日志文件分类与分析
CN_TangZheng的博客
11-17 1783
在处理Linux系统出现的各种故障时,故障的症状是最容易发现的,而导致这一故障的原因才是最终排除故障的关键。 熟悉Linux系统中常见的日志文件了解一般故障的分析与解决办法,将有助于管理员快速定位故障点,“对症下药”,及时解决各种系统问题。 inode和block详解 误删文件的恢复实验
Linux学习之日志系统
薛定谔的猫-前端领域
06-07 526
一、常见的日志 系统用久了偶尔也会出现一些错误,我们需要日志来给系统排错; 在一些网络应用服务不能正常工作的时候,我们需要用日志来做问题定位; 日志还是过往时间的记录本,我们可以通过它知道我们是否被不明用户登录过等等。 在 Linux 中大部分的发行版都内置使用 syslog 系统日志,我们之前了解到常见的日志一般存放在/var/log中,我们来看看其中有哪些日志 根据图中所显...
Linux日志管理实验
ITlinuxP的博客
02-04 755
实验 如何将某个服务重新定义日志 环境 将ssh服务从新定义日志文件日志级别 实验 1.首先在rsyslog服务的配置文件定义一个符合自己日志类别 [root@centos7 ~]# vim /etc/rsyslog.conf #rsyslog的主配置文件 # Save boot messages also to boot.log local7.*
Linux系统日志配置实验
Ruoshuiss的博客
10-28 531
日志配置文件:/etc/rsyslog.conf,/etc/rsyslog.d/*.conf 实验:将ssh服务的日志换个位置存储 vim /etc/ssh/sshd_config 原来是这样的 #SyslogFacility AUTHPRIV 注释掉 SyslogFacility local1 LogLevel INFO 去掉注释 vim /etc/rsyslog.c
linux日志管理实验,linux系统日志管理
weixin_30082367的博客
05-03 202
实验目标:通过本实验掌握centos7/rhel7下journalctl和rsyslog日志工具的使用,建立通过查看日志分析排错的思路,以及日志内容的查找,分类重定向的使用。实验步骤:1、 不配置本机IP地址,但试着启动DHCP服务,会报错2、 运行journalctl工具,从日志中查×××报错的原因3、 将特定时间的日志,比如10:30到11:50之间,写入systeminfo.txt文件...
Linux 文件系统与数据恢复及日志分析
LPFAM的博客
06-25 912
文章目录前言一. inode与block1.1 inode与block 元信息1.2:inode的内容1.2.1:inode包含文件的元信息1.2.2 Linux系统文件三个主要的时间属性1.2.3 目录文件的结构1.2.4:inode的号码1.2.5:文件存储小结1.2.6:inode的大小1.2.7:inode的特殊作用二:硬链接与软链接2.1:硬链接2.2:软链接2.3:软链接与硬链接总结三:恢复误删除的文件3.1:实验:恢复XFS类型的文件3.1.1:xfsdump命令格式3.2:xfsd
深入理解Linux文件系统与日志分析(内涵理论与XFS、EXT文件数据恢复实验
weixin_45726050的博客
11-24 2077
文章目录前言:一、inode与block1.1 inode与block概述1.2 inode的内容二、硬连接与软连接2.1 硬链接2.2 软链接2.3 软链接与硬连接总结三、恢复误删除的文件实验)3.1 恢复XFS类型的文件3.2 恢复EXT类型的文件四、日志文件的分类4.1 日志的功能4.2 日志文件的分类4.3 日志保存位置:4.4 ⭐主要日志文件介绍五、日志文件分析5.1 内核及系统日志5...
CentOS7 利用rsyslog建立日志备份(同步)服务
ElsonHY的博客
11-26 2921
CentOS7 利用rsyslog建立日志备份(同步)服务前言0x01 服务端配置0x02 客户端配置0x03 测试0x04 总结 前言 日志是查看系统运行情况的一个重要部分,在应急响应中,服务器的日志文件就扮演了一个特别重要的作用,管理员根据日志可以判断一些恶意的攻击行为,以此来将一些IP拉入黑名单或者对攻击进行溯源等等。为防止日志被恶意删除的行为,日志的备份就显得特别重要。 0x01 服务端配置 服务端:负责接收其他客户端发来的日志,并做好备份保存。 打开rsyslog的配置文件。 vim /et
深入了解Linux文件系统和日志文件文件删除恢复
weixin_42280882的博客
06-26 1099
本章目录一、inode和block二、软链接和硬链接三、分析日志文件四、实验部分实验环境实验任务实验内容与步骤恢复ext3文件类型恢复误删除的xfs类型文件 一、inode和block 1.概述 在Linux操作系统中,文件数据包括实际内容和属性(元信息),属性包括文件权限和文件所有者。 文件存储在硬盘上,硬盘最小存储单元是“扇区”,每个扇区存储512字节。 操作系统读取硬盘的时候,不会一个个扇区的读取,这样效率太低,而是一次性连续读取8个扇区,即一次性读取一个“块”(block),块是文件存取的最小单位。
网络安全 日志审计实验(1)
ID33Dhy的博客
06-28 760
这里写自定义目录标题实验要求: 实验要求: 1.kali使用工具发送大量垃圾流量进行攻击,在实验机上使用iftop结合iptables封堵攻击IP:
常用的Linux安全审计工具与使用方法
最新发布
prop428的博客
02-22 1111
安全审计工具是用于检测和报告系统中的潜在安全漏洞和异常活动的软件。其中,AIDE(Advanced Intrusion Detection Environment)和Tripwire是Linux系统中广泛使用的安全审计工具。AIDE是一款开源的安全审计工具,可用于监控系统文件的完整性和变化。它通过生成和维护一个文件数据库,记录文件属性和哈希值的变化情况,并能与初始时的数据库进行比较,从而检测是否发生了未经授权的更改。
Linux文件系统与日志分析
sj199728的博客
03-04 115
3
日志审计分析实验二-日志筛选
weixin_51250102的博客
04-04 5461
日志审计分析-日志筛选 实验目的:使用linux 下grep 命令筛选登录日志 1、练习使用grep命令 (1)grep命令的作用? Linux系统中grep命令是一种强大的文本搜索工具,它能使用正则表达式搜索文本,并把匹配的行打印出来。grep全称是Global Regular Expression Print,表示全局正则表达式版本,它的使用权限是所有用户。 (2)grep命令的常用参数都有哪些? 用法: grep [-abcEFGhHilLnqrsvVwxy][-A<显示列数>][-B&
【安全】linux audit审计使用入门
追寻梦想的青春
10-11 4805
rules:审计规则,其中配置了审计系统需要审计的操作auditctl:用户态程序,用于审计规则配置和配置变更kaudit:内核空间程序,根据配置好的审计规则记录发生的事件auditd:用户态程序,通过netlink获取审计日志用户通过auditctl配置审计规则内核的kauditd程序获取到审计规则后,记录对应的审计日志用户态的auditd获取审计日志并写入日志文件。audit的主要应用场景是安全审计,通过对日志进行分析发现异常行为。
CentOS安装log.io实时日志监控
aa3093676的博客
07-03 271
一、软件介绍 log.io是一个实时日志监控工具,采用node.js+socket.io开发,使用浏览器访问,每秒可以处理超过5000条日志变动消息。有一点要指出来的是log.io只监视日志变动并不存储日志,和其他的监控工具一样,log.io也采用服务器-客户端的模式。log.io由两部分组成:server和harvester,server运行在机器A(...
026 Linux网络配置与日志审计系统
鸡蛋炒鸡蛋
01-14 976
目录:一:网络信息查看与配置1.1:笔记1.2:实验二:日志的管理与应急分析三:日志服务器的建立3.1:笔记3.2:实验 一:网络信息查看与配置 1.1:笔记 1)确认系统的网卡信息和ip地址 ip addr ethernet:0表示第一个网卡,1表示第二个网卡 2)关闭networkmanager服务 service NetworkManager Stop chkconfig --level 345 NetworkManager off 3)临时(重启后恢复原先)配置网络地址 i
系统日志管理审核
ITmoster的博客
04-26 782
EventLog Analyzer 的内置系统日志服务器自动配置和收集来自网络设备的系统日志,并提供对安全事件的深入洞察。通过审核来自外围设备(包括路由器、交换机、防火墙以及IDS 和 IPS)的日志数据,保护您的网络外围免受入侵。
推荐一款免费的VMware审计工具
weixin_33908217的博客
10-31 275
Netwrix ChangeNotifierfor VMware—NetWrix VMware变更通知工具一款免费的审计工具,让您及时了解VMware的变更您是否在维护VMware的变化上需要太多人手,占用了太多时间?NetWrix VMware变更通知工具是一款免费的VMware监控工具,它能发现并且报告您的虚拟环境中配置的变化,包括数据中心实例,主机系统,资源池,集...
GoAccess:一键安装与Nginx日志分析利器(CentOS
GoAccess是一款强大的实时日志分析工具,特别适用于Linux环境下的服务器管理,特别是在处理Nginx日志时表现出色。它被推荐给那些寻求高效、便捷的日志分析解决方案的草根站长和系统管理员。GoAccess的特点在于其易于...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值