windows日志 #
查看windows日志方法:开始->运行->输入eventvwr
| 类型 | 事件类型 | 描述 | 文件名 |
|---|---|---|---|
| Windows日志 | 系统 | 包含系统进程,设备磁盘活动等。事件记录了设备驱动无法正常启动或停止,硬件失败,重复IP地址,系统进程的启动,停止及暂停等行为。 | System.evtx |
| 安全 | 包含安全性相关的事件,如用户权限变更,登录及注销,文件及文件夹访问,打印等信息。 | Security.evtx | |
| 应用程序 | 包含操作系统安装的应用程序软件相关的事件。事件包括了错误、警告及任何应用程序需要报告的信息,应用程序开发人员可以决定记录哪些信息。 | Application.evtx | |
| 应用程序及服务日志 | Microsoft | Microsoft文件夹下包含了200多个微软内置的事件日志分类,只有部分类型默认启用记录功能,如远程桌面客户端连接、无线网络、有线网路、设备安装等相关日志。 | 详见日志存储目录对应文件 |
| Microsoft Office Alerts | 微软Office应用程序(包括Word/Excel/PowerPoint等)的各种警告信息,其中包含用户对文档操作过程中出现的各种行为,记录有文件名、路径等信息。 | OAerts.evtx | |
| Windows PowerShell | Windows自带的PowerShell应用的日志信息。 | Windows PowerShell.evtx | |
| Internet Explorer | IE浏览器应用程序的日志信息,默认未启用,需要通过组策略进行配置。 | Internet Explorer.evtx |
| Windows日志 | 系统 | 包含系统进程,设备磁盘活动等。事件记录了设备驱动无法正常启动或停止,硬件失败,重复IP地址,系统进程的启动,停止及暂停等行为 |
|---|---|---|
Windows 应用程序日志
C:\Windows\System32\winevt\Logs\ Application.Evtx
主要关注安全日志,里面记录账户登陆,注销,等等的日志
系统日志中的id
Id 12 系统启动
6005ID 事件日志服务启动
6004ID 事件日志服务停止
Id 13 系统关闭
安全日志中的id
4732 添加用户启动安全性的本地组中
4722 启动用户的id
4720 创建用户
4624 登陆成功
4625 失败登陆
4726 删除用户
4634 注销
4776 成功/失败的账户认证
1102 清理日志
安全日志中的 登陆日志类型
2 交互登陆
3 网络登陆(通过net use,访问共享网络)
4 批处理(为批处理程序保留)
5 服务器启动
6 不支持
7 解锁(带密码保护的屏幕保护程序)
8 网络明文,iis服务器登陆验证
10 远程交互(终端服务,远程桌面,远程辅助)
11 缓存域证书登陆
linux日志 #
通过查看 /etc/rsyslog.conf ,可查看相关系统日志配置情况。
linux系统日志一般存放在/var/log/目录下。
/var/log/messages:记录Linux内核消息及各种应用程序的公共日志信息,包括启动、IO错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务,一般都可以从该文件获得相关的事件记录信息。 /var/log/cron:记录crond计划任务产生的事件消息。 /varlog/dmesg:记录Linux系统在引导过程中的各种事件信息。 /var/log/maillog:记录进入或发出系统的电子邮件活动。 /var/log/lastlog:最近几次成功登录事件和最后一次不成功登录事件。 /var/log/rpmpkgs:记录系统中安装各rpm包列表信息。 /var/log/secure:记录用户登录认证过程中的事件信息。 /var/log/wtmp:记录每个用户登录、注销及系统启动和停机事件。 /var/log/utmp:记录当前登录的每个用户的详细信息
secure
是应急中最常用的文件,主要记录系统存取数据的文件,如POP3、ssh、telnet、ftp等相关记录,从日志中可看出系统服务是否遭受到安全威胁,从如下日志中可看到ftp服务一直在被破解。
用户日志
wtmp日志记录了用户的登录、退出、重启等情况,可以查看系统是否存在异常用户登录,判断攻击者是否已经登录服务器,由于wtmp日志为二进制文件,所以利用用last命令查看,last -t 20190426120950 ,可查看这个时间之前的日志。
lastlog命令,用于显示系统中所有用户最近一次登录信息。lastlog文件在每次有用户登录时被查询。可以使用lastlog命令检查某特定用户上次登录的时间,并格式化输出上次登录日志/var/log/lastlog的内容。它根据UID排序显示登录名、端口号(tty)和上次登录时间。如果一个用户从未登录过,lastlog显示Never logged。注意需要以root身份运行该命令。
