《日志管理与分析权威指南》一3.3 日志来源分类

简介:

本节书摘来华章计算机《日志管理与分析权威指南》一书中的第3章 ,第3.3节,(美) Anton A. Chuvakin Kevin J. Schmidt Christopher Phillips 著 姚 军 简于涵 刘 晖 等译更多章节内容可以访问云栖社区“华章计算机”公众号查看。

3.3 日志来源分类

本节提供了一些生成日志数据的系统和应用程序实例。

3.3.1 安全相关主机日志

这一类别涵盖由操作系统组件、各种网络服务日志和其他运行于系统之上的应用程序生成的主机日志。虽然许多消息只是(或者主要是)为性能跟踪、审计或者故障排除而生成的,但是大部分在安全上都有作用。
1.?操作系统日志
操作系统记录各种消息。我们来研究一些操作系统生成的安全相关消息:

  • 认证:用户已经登录、无法登录等。

示例(Linux syslog):
image

这个例子是Linux syslog中的一行,与远程用户用Secure Shell守护进程认证相关:

  • 系统启动、关闭和重启。

示例(Linux syslog):
image

这个例子中的Linux syslog与系统关闭相关。

  • 服务启动、关闭和状态变化。

示例(Solaris syslog):
image

这个例子是与sendmail守护进程启动相关的Linux syslog行。

  • 服务崩溃。

示例(Linux syslog):
image

这个例子是与FTP服务器偶然关闭(可能因为崩溃或者kill命令)相关的Linux syslog行。

  • 杂项状态消息。

示例(Linux syslog):
image

这个例子是与时间同步守护进程(NTPD)相关的Linux syslog行。
总体来说,操作系统消息被视为安全相关有两个主要原因:
1)它们可用于入侵检测,因为成功和失败的攻击通常在日志中留下独特的痕迹。大部分入侵检测系统(HIDS)和安全信息及事件管理系统(SIEM)收集这类消息,做出过去和将要出现的威胁的判断(在日志中发现攻击者侦察活动的痕迹时)。
2)它们对事故响应(见第16章)也很有用,因为尽管有各种安全防护措施,成功的攻击仍然可能发生。正如我们在许多章节中所提到的,日志在事故响应中是至关重要的,因为它们使调查者能够“组合”入侵拼图中互相脱节的各个部分。
2. 网络守护进程日志
网络守护进程通常记录如下类型的安全相关消息:

  • 建立到服务的连接。

示例(Linux syslog):
image

来自Linux syslog的这条消息显示了远程用户“anton”成功地连接到POP3邮件守护进程。

  • 失败的服务器连接。

示例(Linux syslog):
image

来自Linux syslog的这条消息说明telnet服务的一次失败连接(因为访问控制)。

  • 连接建立,但是不允许访问。

示例(Linux syslog):
image

来自Linux syslog的这条消息说明对Secure Shell服务器的连接不成功。

  • 各种故障消息。

示例(Linux syslog):
image

来自Linux syslog的这条消息说明sendmail守护进程无法继续与客户端通信(可能是一个垃圾程序)。

  • 各种状态消息。

示例(Linux syslog):
image

来自Linux syslog的这条消息表示一次成功的电子邮件传输。
网络守护进程日志通常和一般的操作系统日志一样有用。实际上,它们常常被记录在同一个位置,例如,在Unix和Windows上,它们使用相同的日志记录机制。
网络守护进程提供了远程进入系统的最常见途径,许多攻击以此为目标。因此,建立健全的日志记录对于这种环境很关键。
3.应用程序日志
应用程序还记录各种有趣的消息。我们可以将应用程序记录的日志归纳为如下列表:

  • 应用程序用户活动
  • 特权用户活动
  • 关键的例行活动
  • 重新配置
相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
2月前
|
监控 Android开发 C语言
深度解读Android崩溃日志案例分析2:tombstone日志
深度解读Android崩溃日志案例分析2:tombstone日志
30 0
|
2月前
|
Go 数据处理 Docker
elk stack部署自动化日志收集分析平台
elk stack部署自动化日志收集分析平台
49 0
|
2月前
|
Java Spring
【Spring Boot】logback和log4j日志异常处理
【1月更文挑战第25天】【Spring Boot】logback和log4j日志异常处理
|
1天前
|
数据库
redo log日志格式
redo log日志格式
|
1天前
|
SQL 数据采集 JSON
弱结构化日志 Flink SQL 怎么写?SLS SPL 来帮忙
弱结构化日志 Flink SQL 怎么写?SLS SPL 来帮忙
123186 0
|
5天前
|
应用服务中间件 nginx
百度搜索:蓝易云【nginx记录分析网站响应慢的请求(ngx_http_log_request_speed)】
需要注意的是,使用自定义的Nginx模块需要对Nginx的编译和配置有一定的了解。如果对Nginx和模块的配置不太熟悉,建议先仔细阅读相关文档和教程,确保操作正确。此外,模块的稳定性和兼容性也需要进行一定的测试和验证。 买CN2云服务器,免备案服务器,高防服务器,就选蓝易云。百度搜索:蓝易云
15 0
|
24天前
|
监控 安全 数据库
Binlog vs. Redo Log:数据库日志的较劲【高级】
Binlog vs. Redo Log:数据库日志的较劲【高级】
70 0
|
24天前
|
存储 缓存 关系型数据库
Binlog vs. Redo Log:数据库日志的较劲【基础】
Binlog vs. Redo Log:数据库日志的较劲【基础】
52 0
|
24天前
log4j2.xml的日志打印配置
log4j2.xml的日志打印配置
14 0
|
28天前
|
存储 缓存 关系型数据库
Mysql专栏 - redo log日志细节
Mysql专栏 - redo log日志细节
55 0