《日志管理与分析权威指南》一1.5.4 取证

简介:

本节书摘来华章计算机《日志管理与分析权威指南》一书中的第1章 ,第1.5.4节,(美) Anton A. Chuvakin Kevin J. Schmidt Christopher Phillips 著 姚 军 简于涵 刘 晖 等译更多章节内容可以访问云栖社区“华章计算机”公众号查看。

1.5.4 取证

取证是在事件发生后重建“发生了什么”的情景的过程。这种描绘往往基于不完整的信息,而信息可信度是至关重要的。日志是取证过程中不可或缺的组成部分。
日志一经记录,就不会由于系统的正常使用而被修改,这意味着它们是一种“永久性”的记录。因此,它们可以为系统中其他可能更容易被更改或破坏的数据提供准确的补充。
由于每条日志中通常都有着时间戳,它们提供了每个事件的时间顺序,不仅仅告诉我们发生了什么事情,还告诉我们这些事情发生的时间和顺序。
而且,日志发送到另一台主机(通常是一个集中日志收集器),这也提供了独立于原始源的一个证据来源。如果原始来源上信息的准确性遭到质疑(例如入侵者可能篡改或者删除了日志),独立的信息源可能被认为是更可靠的附加来源。
同样,来自不同来源甚至不同站点的日志可以佐证其他证据,提高每个源的准确性。
日志有助于加强收集的其他证据。重现事件往往不是基于一部分信息或者单个信息源,而是来自各种来源的数据:文件和各自系统上的时间戳、用户的命令历史记录、网络数据和日志。日志有时可能会否认其他证据,这本身可能表明其他来源已被破坏(例如遭到入侵者的篡改)。
image

日志中显示的证据有时是间接或者不完整的。例如,一个日志条目可能展示出一个特定的活动,但没有说明是谁进行的。或者,举个例子,进程账户日志显示一个用户运行了什么命令,但并没有记录这些命令的参数。所以日志并不总是唯一的可靠信息来源。但是,当主机遭到入侵,如果主机已经将日志转发给集中日志服务器,日志就可能是唯一可靠的信息来源。这些日志在主机遭到入侵前是可以信任的,而在入侵之后就值得怀疑了。但是你收集的日志有助于揭示到底发生了什么,或者为你指出正确的方向。

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
2月前
|
监控 Android开发 C语言
深度解读Android崩溃日志案例分析2:tombstone日志
深度解读Android崩溃日志案例分析2:tombstone日志
30 0
|
2月前
|
Go 数据处理 Docker
elk stack部署自动化日志收集分析平台
elk stack部署自动化日志收集分析平台
49 0
|
2月前
|
缓存 固态存储 关系型数据库
MySQL性能优化指南:深入分析重做日志刷新到磁盘的机制
MySQL性能优化指南:深入分析重做日志刷新到磁盘的机制
|
3月前
|
SQL Java 数据库连接
日志输出-查看 SQL:深入分析 MyBatis 执行过程
日志输出-查看 SQL:深入分析 MyBatis 执行过程
36 0
|
4月前
|
存储 JSON 监控
日志记录和分析:ELK堆栈在内部局域网监控软件中的应用
在现代信息技术领域,监控和分析内部局域网的性能和运行状况对于确保系统的可靠性和高效性至关重要。为了实现这一目标,开发了一种基于ELK堆栈的解决方案,它利用强大的日志记录和分析工具,帮助监控人员实时追踪和解决问题。本文将介绍ELK堆栈的应用,以及如何自动提交监控到的数据到指定网站。
175 1
|
5月前
|
Linux Perl
Linux 系统快速分析日志定位故障原因的 10 个方法
在 Linux 系统中,日志是一种非常重要的资源。系统管理员可以通过日志记录的内容来检测系统的运行状况,分析问题,做出相应的调整和优化。由于日志文件数量庞大,内容复杂,因此需要使用一些工具和技术帮助管理员进行快速分析和查找。 本文将介绍 Linux 系统中快速分析日志、定位故障的 10 个方法。
644 1
|
3月前
|
Java
如何实现一个高效的二叉搜索树(BST)?请给出时间复杂度分析。 要求:设计一个二叉搜索树,支持插入、删除和查找操作。要求在平均情况下,这些操作的时间复杂度为O(log n)。同时,考虑树的平衡性,使得树的高度保持在对数级别。
如何实现一个高效的二叉搜索树(BST)?请给出时间复杂度分析。 要求:设计一个二叉搜索树,支持插入、删除和查找操作。要求在平均情况下,这些操作的时间复杂度为O(log n)。同时,考虑树的平衡性,使得树的高度保持在对数级别。
25 0
|
3月前
|
SQL 存储 安全
带你读《Apache Doris 案例集》——07查询平均提速700% ,奇安信基于 Apache Doris 升级日志安全分析系统(2)
带你读《Apache Doris 案例集》——07查询平均提速700% ,奇安信基于 Apache Doris 升级日志安全分析系统(2)
|
5天前
|
应用服务中间件 nginx
百度搜索:蓝易云【nginx记录分析网站响应慢的请求(ngx_http_log_request_speed)】
需要注意的是,使用自定义的Nginx模块需要对Nginx的编译和配置有一定的了解。如果对Nginx和模块的配置不太熟悉,建议先仔细阅读相关文档和教程,确保操作正确。此外,模块的稳定性和兼容性也需要进行一定的测试和验证。 买CN2云服务器,免备案服务器,高防服务器,就选蓝易云。百度搜索:蓝易云
15 0
|
5月前
|
运维 监控 安全
系统日志分析:发现潜在问题
系统日志分析:发现潜在问题
36 0