《日志管理与分析权威指南》一3.3.3 安全主机日志

简介:

本节书摘来华章计算机《日志管理与分析权威指南》一书中的第3章 ,第3.3.3节,(美) Anton A. Chuvakin Kevin J. Schmidt Christopher Phillips 著 姚 军 简于涵 刘 晖 等译更多章节内容可以访问云栖社区“华章计算机”公众号查看。

3.3.3 安全主机日志

这一类别包括来自在主机上运行具备安全保护功能的应用程序的主机日志。和上面提到的和安全有关或无关的日志不同,这些安全日志总是有趣的,因为它们与攻击、入侵、感染等相关。但是,在许多情况下,安全机制可能会撒谎,造成各种类型的虚假警报(例如著名的“假阳性”)。
主机入侵检测与预防
从20世纪90年代初第一代商业化系统出现以来,主机入侵检测系统(HIDS)和入侵预防系统(HIPS)的定义和任务已经得到了发展。顺便提一句,最早的系统实际上查看日志,试图对这些日志应用入侵跟踪特征。HIDS的功能已经被扩展,还监控文件系统的变化和其他未授权的系统修改。
现在,这类系统能够检测和拦截各种网络、操作系统和应用程序攻击。HIDS只发出警报,HIPS还可以根据特征、动态规则和其他机制拦截攻击。
这类系统生成的大部分事件记录与如下方面相关:

  • 检测到的侦察或者探查行为。
  • 对可执行文件的修改。

示例(Dragon HIDS):
image

来自Dragon主机传感器(以前称为Dragon Squire)的这条消息说明,通过监控FTP日志,发现了一次Nessus漏洞扫描器探查。

  • 检测到攻击

示例(Linux syslog):
image

来自Linux syslog的这条消息说明:

  • 检测并拦截攻击。

示例(Linux syslog):
image

来自Linux syslog的这条消息说明:

  • 检测到成功的入侵。

示例(Linux syslog):
image

来自Linux syslog的这条消息说明:

  • 不安全的系统重新配置或者损坏。

示例(Dragon HIDS):
image

来自Dragon主机传感器(以前称为Dragon Squire)的消息显示了关键系统文件删除警报。

  • 身份认证或者授权失败。

示例(Dragon HIDS):
image

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
2月前
|
监控 Android开发 C语言
深度解读Android崩溃日志案例分析2:tombstone日志
深度解读Android崩溃日志案例分析2:tombstone日志
30 0
|
2月前
|
Go 数据处理 Docker
elk stack部署自动化日志收集分析平台
elk stack部署自动化日志收集分析平台
49 0
|
2月前
|
Java Spring
【Spring Boot】logback和log4j日志异常处理
【1月更文挑战第25天】【Spring Boot】logback和log4j日志异常处理
|
2天前
|
数据库
redo log日志格式
redo log日志格式
|
2天前
|
SQL 数据采集 JSON
弱结构化日志 Flink SQL 怎么写?SLS SPL 来帮忙
弱结构化日志 Flink SQL 怎么写?SLS SPL 来帮忙
123277 0
|
6天前
|
应用服务中间件 nginx
百度搜索:蓝易云【nginx记录分析网站响应慢的请求(ngx_http_log_request_speed)】
需要注意的是,使用自定义的Nginx模块需要对Nginx的编译和配置有一定的了解。如果对Nginx和模块的配置不太熟悉,建议先仔细阅读相关文档和教程,确保操作正确。此外,模块的稳定性和兼容性也需要进行一定的测试和验证。 买CN2云服务器,免备案服务器,高防服务器,就选蓝易云。百度搜索:蓝易云
15 0
|
25天前
|
监控 安全 数据库
Binlog vs. Redo Log:数据库日志的较劲【高级】
Binlog vs. Redo Log:数据库日志的较劲【高级】
70 0
|
25天前
|
存储 缓存 关系型数据库
Binlog vs. Redo Log:数据库日志的较劲【基础】
Binlog vs. Redo Log:数据库日志的较劲【基础】
52 0
|
25天前
log4j2.xml的日志打印配置
log4j2.xml的日志打印配置
16 0
|
1月前
|
存储 缓存 关系型数据库
Mysql专栏 - redo log日志细节
Mysql专栏 - redo log日志细节
55 0