No.40 蓝队 | 日志分析入门:Windows与Linux日志解析及攻击识别
在网络安全领域,日志分析是一项至关重要的技能。通过对系统和应用程序日志的深入分析,能够及时发现安全问题、追溯攻击行为,为网络安全防护提供有力支持。下面将围绕Windows日志、Linux日志以及日志分析相关知识展开学习笔记。
一、Windows日志详解
(一)日志分类与作用
Windows日志主要分为应用程序日志、系统日志和安全日志。应用程序日志记录应用程序运行时的事件,对开发者排查程序故障意义重大;系统日志记录操作系统组件相关事件,有助于系统管理员解决系统问题;安全日志则记录安全相关事件,如用户登录、权限变更等,是调查安全事件的关键依据。
(二)日志查看与管理
- 查看方式:可通过在搜索框搜索“事件查看器”,或使用快捷键“Window+R”运行“eventvwr”“eventvwr.msc”打开。在事件查看器中,能方便地查看不同类型日志。
- 数据大小与存储位置:系统、安全、应用程序这三个核心日志文件默认大小约20MB,其他日志文件默认约1MB。日志文件默认存放在“%SystemRoot%\System32\winevt\Logs”目录下,其中“%SystemRoot%”通常是“C:\Windows” 。
- 导出类型:支持“evtx、xml、txt、csv”四种导出格式,默认是“evtx”。可根据需求选择全部导出或单条导出。
(三)事件类型与ID
- 事件类型:包含错误、警告、