一、Windows系统日志体系
1.日志基础分类
系统默认三大核心日志,存放路径统一参考:C:\Windows\System32\winevt\Logs
- 系统日志(System):记录硬件、驱动、服务启停、系统报错、设备异常
- 安全日志(Security):重中之重,账号登陆、权限变更、策略修改、审计事件、爆破行为都在此记录;
- 应用程序日志(Application):第三方软件、Web服务、数据库、杀毒软件运行报错与操作记录
额外常用专项日志
- 远程桌面日志:记录3389登录行为
- DNS、防火墙、IIS服务专属日志
2.打开日志查看器方式
- 运行输入eventvwr.msc直接调出事件查看器
- 计算机管理------事件查看器------Windows日志
3.关键事件ID
|------|----------|---------------|
| 事件ID | 对应行为 | 应急判断场景 |
| 4624 | 账号成功登录 | 核对陌生账号、陌生IP登录 |
| 4625 | 登录失败 | 高频失败=暴力破解攻击 |
| 4688 | 进程命令执行 | 排查恶意程序、后门执行指令 |
| 4720 | 新建账号 | 黑客恶意创建后门账号预警 |
| 4732 | 账号加入管理组员 | 权限劫持高危行为 |
| 7034 | 服务异常终止 | 木马篡改、破坏系统服务 |
| 7045 | 系统新增服务 | 恶意远控、挖矿服务植入 |
4.排查要点
1.筛选时间范围:聚焦告警事件前后时间段日志
2.筛选关键字:用户名、IP地址、事件ID、计算机名
3.异常判定特征
- 短时间内出现大量4625失败登录,判定为账号爆破
- 非工作时段陌生IP、陌生帐号登录主机
- 莫名新增管理员账号、陌生系统服务
- 异常进程调用cmd、powershell执行命令
5.日志基础操作
- 导出日志:右键日志列表------将所有时间另存为,留存取证证据
- 清空日志:黑客常用抹除痕迹手段,发现日志被清空需高度警惕
- 筛选过滤:利用筛选器只查看事件ID,提升排查效率
二、Linux系统日志体系
1.日志存放总目录
绝大多数日志集中在**/var/log/**目录下
2.核心日志文件作用
- /var/log/messages:通用系统全局,记录系统整体运行、软硬件报错
- /var/log/secure 重点:SSH、本地登录、sudo提权、账号认证相关日志,排查登录攻击首选
- /var/log/boot.log:系统开机启动日志,排查开机自启恶意程序
- /var/log/cron:定时任务日志,排查挖矿、定时反弹后门
- /var/log/dmesg:内核运行日志,硬件、驱动、异常进程内核行为
- /var/log/nginx/ /var/log/httpd/:Web服务专属日志
3.常用查看命令
#实时滚动查看日志,监控最近行为
tail -f /var/log/secure
#常看末尾100行日志
tail -n 100 /var/log/messages
#分页翻阅全部日志
less /var/log/secure
#关键词筛选,排查指定账号
grep "root" /var/log/secure
grep "192.168" /var/log/secure4.登录与权限异常识别
1.SSH暴力破解特征
secure日志中连续出现Failed password字段,同一个IP反复尝试不同账号密码
2.成功登录标记
出现Accepted password,核对登录IP、登录账号是否合法
3.权限操作痕迹
sudo切换账号、su切换用户记录,陌生账号提权操作属于异常行为
4.定时任务异常
cron日志出现非常规时间、陌生脚本执行记录,大概率植入定时木马
5.辅助登录查询命令
#常看近期所有登录记录
last
#查看登录失败记录
lastb
#查看当前在线用户
w三、日志分析通用排查思路
- 锁定时间:根据告警时间、划定排查时间区间
- 定位类型:先查安全认证类日志,再查系统、应用日志
- 抓取异常:失败登录、陌生帐号、陌生IP、异常进程服务
- 关联佐证:结合进程、端口信息,验证日志真实性
- 留存取证:可疑日志即使导出备份,避免被篡改删除