《日志管理与分析权威指南》一1.5.4 取证-阿里云开发者社区

开发者社区> 华章计算机> 正文

《日志管理与分析权威指南》一1.5.4 取证

简介:
+关注继续查看

本节书摘来华章计算机《日志管理与分析权威指南》一书中的第1章 ,第1.5.4节,(美) Anton A. Chuvakin Kevin J. Schmidt Christopher Phillips 著 姚 军 简于涵 刘 晖 等译更多章节内容可以访问云栖社区“华章计算机”公众号查看。

1.5.4 取证

取证是在事件发生后重建“发生了什么”的情景的过程。这种描绘往往基于不完整的信息,而信息可信度是至关重要的。日志是取证过程中不可或缺的组成部分。
日志一经记录,就不会由于系统的正常使用而被修改,这意味着它们是一种“永久性”的记录。因此,它们可以为系统中其他可能更容易被更改或破坏的数据提供准确的补充。
由于每条日志中通常都有着时间戳,它们提供了每个事件的时间顺序,不仅仅告诉我们发生了什么事情,还告诉我们这些事情发生的时间和顺序。
而且,日志发送到另一台主机(通常是一个集中日志收集器),这也提供了独立于原始源的一个证据来源。如果原始来源上信息的准确性遭到质疑(例如入侵者可能篡改或者删除了日志),独立的信息源可能被认为是更可靠的附加来源。
同样,来自不同来源甚至不同站点的日志可以佐证其他证据,提高每个源的准确性。
日志有助于加强收集的其他证据。重现事件往往不是基于一部分信息或者单个信息源,而是来自各种来源的数据:文件和各自系统上的时间戳、用户的命令历史记录、网络数据和日志。日志有时可能会否认其他证据,这本身可能表明其他来源已被破坏(例如遭到入侵者的篡改)。
image

日志中显示的证据有时是间接或者不完整的。例如,一个日志条目可能展示出一个特定的活动,但没有说明是谁进行的。或者,举个例子,进程账户日志显示一个用户运行了什么命令,但并没有记录这些命令的参数。所以日志并不总是唯一的可靠信息来源。但是,当主机遭到入侵,如果主机已经将日志转发给集中日志服务器,日志就可能是唯一可靠的信息来源。这些日志在主机遭到入侵前是可以信任的,而在入侵之后就值得怀疑了。但是你收集的日志有助于揭示到底发生了什么,或者为你指出正确的方向。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
使用OpenApi弹性释放和设置云服务器ECS释放
云服务器ECS的一个重要特性就是按需创建资源。您可以在业务高峰期按需弹性的自定义规则进行资源创建,在完成业务计算的时候释放资源。本篇将提供几个Tips帮助您更加容易和自动化的完成云服务器的释放和弹性设置。
11017 0
10059
文章
0
问答
来源圈子
更多
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
《Nacos架构&原理》
立即下载
《看见新力量:二》电子书
立即下载
云上自动化运维(CloudOps)白皮书
立即下载