应急响应(系统日志)

一、Windows系统日志体系

1.日志基础分类

系统默认三大核心日志,存放路径统一参考:C:\Windows\System32\winevt\Logs

  • 系统日志(System):记录硬件、驱动、服务启停、系统报错、设备异常
  • 安全日志(Security):重中之重,账号登陆、权限变更、策略修改、审计事件、爆破行为都在此记录;
  • 应用程序日志(Application):第三方软件、Web服务、数据库、杀毒软件运行报错与操作记录

额外常用专项日志

  • 远程桌面日志:记录3389登录行为
  • DNS、防火墙、IIS服务专属日志

2.打开日志查看器方式

  1. 运行输入eventvwr.msc直接调出事件查看器
  2. 计算机管理------事件查看器------Windows日志

3.关键事件ID

|------|----------|---------------|
| 事件ID | 对应行为 | 应急判断场景 |
| 4624 | 账号成功登录 | 核对陌生账号、陌生IP登录 |
| 4625 | 登录失败 | 高频失败=暴力破解攻击 |
| 4688 | 进程命令执行 | 排查恶意程序、后门执行指令 |
| 4720 | 新建账号 | 黑客恶意创建后门账号预警 |
| 4732 | 账号加入管理组员 | 权限劫持高危行为 |
| 7034 | 服务异常终止 | 木马篡改、破坏系统服务 |
| 7045 | 系统新增服务 | 恶意远控、挖矿服务植入 |

4.排查要点

1.筛选时间范围:聚焦告警事件前后时间段日志

2.筛选关键字:用户名、IP地址、事件ID、计算机名

3.异常判定特征

  • 短时间内出现大量4625失败登录,判定为账号爆破
  • 非工作时段陌生IP、陌生帐号登录主机
  • 莫名新增管理员账号、陌生系统服务
  • 异常进程调用cmd、powershell执行命令

5.日志基础操作

  • 导出日志:右键日志列表------将所有时间另存为,留存取证证据
  • 清空日志:黑客常用抹除痕迹手段,发现日志被清空需高度警惕
  • 筛选过滤:利用筛选器只查看事件ID,提升排查效率

二、Linux系统日志体系

1.日志存放总目录

绝大多数日志集中在**/var/log/**目录下

2.核心日志文件作用

  • /var/log/messages:通用系统全局,记录系统整体运行、软硬件报错
  • /var/log/secure 重点:SSH、本地登录、sudo提权、账号认证相关日志,排查登录攻击首选
  • /var/log/boot.log:系统开机启动日志,排查开机自启恶意程序
  • /var/log/cron:定时任务日志,排查挖矿、定时反弹后门
  • /var/log/dmesg:内核运行日志,硬件、驱动、异常进程内核行为
  • /var/log/nginx/ /var/log/httpd/:Web服务专属日志

3.常用查看命令

复制代码
#实时滚动查看日志,监控最近行为
tail -f /var/log/secure

#常看末尾100行日志
tail -n 100 /var/log/messages

#分页翻阅全部日志
less /var/log/secure

#关键词筛选,排查指定账号
grep "root" /var/log/secure
grep "192.168" /var/log/secure

4.登录与权限异常识别

1.SSH暴力破解特征

secure日志中连续出现Failed password字段,同一个IP反复尝试不同账号密码

2.成功登录标记

出现Accepted password,核对登录IP、登录账号是否合法

3.权限操作痕迹

sudo切换账号、su切换用户记录,陌生账号提权操作属于异常行为

4.定时任务异常

cron日志出现非常规时间、陌生脚本执行记录,大概率植入定时木马

5.辅助登录查询命令

复制代码
#常看近期所有登录记录
last

#查看登录失败记录
lastb

#查看当前在线用户
w

三、日志分析通用排查思路

  1. 锁定时间:根据告警时间、划定排查时间区间
  2. 定位类型:先查安全认证类日志,再查系统、应用日志
  3. 抓取异常:失败登录、陌生帐号、陌生IP、异常进程服务
  4. 关联佐证:结合进程、端口信息,验证日志真实性
  5. 留存取证:可疑日志即使导出备份,避免被篡改删除
相关推荐
运维行者_4 小时前
企业无线网络监控的挑战与智能化演进趋势
大数据·运维·服务器·网络·数据库
2603_955279705 小时前
Cursor + GitOps:自动化运维新姿势
运维·自动化
Waay5 小时前
面试口述版:个人对 Prometheus 完整理解
运维·学习·云原生·面试·职场和发展·kubernetes·prometheus
三8445 小时前
文件查找/文件压缩/解压缩
linux·运维·服务器
小猪写代码5 小时前
Linux 管道(Pipeline)作业
linux·运维·服务器
桌面运维家6 小时前
如何用半缓存云桌面将服务器硬盘容量扩展至本地终端?
运维·服务器·缓存
激情的学姐6 小时前
【大型网站技术实践】初级篇:借助Nginx搭建反向代理服务器
运维·nginx
ai_coder_ai6 小时前
编写自动化脚本,在自己后端服务中使用Open Api进行设备相关操作
java·运维·自动化
会周易的程序员7 小时前
microLog 的本地日志读取接口 log_reader — 本地日志文件读取工具开发指南
linux·物联网·架构·嵌入式·日志·iot·aiot
spider_xcxc8 小时前
Redis 数据库高质量实践指南(一)
运维·数据库·redis·oracle·云计算