日志审计与分析实验（CentOS日志分析）

日志审计与分析实验一

1、安装Linux实验环境

2、 了解CentOS系统日志

日志文件的分类：
内核及系统日志：由系统服务syslog统一进行管理，日志格式基本相似
用户日志：记录系统用户登录及退出系统的相关信息
程序日志：由各种应用程序独立管理的日志文件，记录格式不统一

3、实验步骤

1、了解CentOS中日志保存的位置。

日志保存位置：默认位于：/var/log
内核及公共消息日志：/var/log/messages
计划任务日志：/var/log/cron
系统引导日志：/var/log/dmesg
邮件系统日志：/var/log/maillog
用户登录日志：/var/log/lastlog:最近的用户登录事件 
 /var/log/secure：用户验证相关的安全性事件
 /var/log/wtmp：用户登录、注销及系统开关机事件
 /var/run/btmp：当前登录的每个用户的详细信息
内核及系统日志：这种日志数据由系统服务 rsyslog 统一管理，根据其主配置文件/etc/rsyslog.conf 中的设置决定将内核消息及各种系统程序消息记录到什么位置。系统中有相当一部分程序会把自己的日志文件交由 rsyslog 管理，因而这些程序使用的日志记录也具有相似的格式。

2、掌握boot.log,messages,secure,cron日志文件的作用

     boot.log：该文件记录了系统在引导过程中发生的事件，就是linux系统开机自检过程显示的信息
     messages：messages 日志是核心系统日志文件。它包含了系统启动时的引导消息，以及系统运行时的其他状态消息。IO 错误、网络错误和其他系统错误都会记录到这个文件中。其他信息，比如某个人的身份切换为 root，也在这里列出。如果服务正在运行，比如 DHCP 服务器，您可以在 messages 文件中观察它的活动。通常，/var/log/messages 是您在做故障诊断时首先要查看的文件。
     secure：安全信息和系统登录与网络连接的信息。安全相关,主要是用户认证,如登录 、创建和删除账号 、sudo等
     cron：记录crontab守护进程crond所派生的子进程的动作，前面加上用 户、登录时间和PID，以及派生出的进程的动作。CMD的一个动作是cron派生出一个调度进程的常见情况。REPLACE（替换）动作记录用户对它的 cron文件的更新，该文件列出了要周期性执行的任务调度。 RELOAD动作在REPLACE动作后不久发生，这意味着cron注意到一个用户的cron文件被更新而cron需要把它重新装入内存。该文件可能会查到一些反常的情况。

3、掌握boot.log,messages,secure,cron日志的文件格式，截取部分日志内容，并标出每个字段的含义。

查看/var/log/messages
A窗口:tail -f /var/log/messages 实时监测messages日志文件

另外开启一个终端B窗口，查看A窗口日志的记录信息

查看/var/log/boot.log

查看/var/log/secure

查看/var/log/cron

查看/var/log/maillog

4、掌握btmp,wtmp,lastlog文件的查看办法
查看btmp文件：/var/log/btmp：lastb 列出失败尝试的登录信息和last命令功能完全相同，只不过它默认读取的是/var/log/btmp文件的信息。
也可以用：last -f /var/log/btmp

查看wtmp文件： 该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此该文件会越来越大。last命令就通过访问这个文件获得这些信息，并以反序从后向前显示用户的登录记录，last也能根据用户、终端 tty或时间显示相应的记录。
last它默认读取的是/var/log/wtmp文件的信息。输出的内容包括：用户名、终端位置、登录源信息、开始时间、结束时间、持续时间。注意最后一行输出的是wtmp文件起始记录的时间。

也可以用last -f /var/log/wtmp

Lastlog: 该 日志文件记录最近成功登录的事件和最后一次不成功的登录事件，由login生成。lastlog引用的是/var/log/lastlog文件中的信息，包括login-name、port、last login time 在每次用户登录时被查询，该文件是二进制文件，需要使用 lastlog命令查看。

4、了解Windows系统日志

要求：掌握如何查看windows日志中的安全日志，为windows设置账号密码，并尝试登陆，将登陆失败和成功的日志删选出来（截图），标出登陆账号、登录时间、登录地址。
安全日志包含安全性相关的事件，如用户权限变更，登录及注销，文件及文件夹访问，打印等信息。
事件ID–事件描述（部分）
1102 清理审计日志
4624 账号成功登录
4625 账号登录失败
4768 Kerberos身份验证（TGT 请求）
4769 Kerberos服务票证请求
4776 NTLM身份验证
4672 授予特殊权限
4720 创建用户
4726 删除用户
4728 将成员添加到启用安全的全局组中
4729 将成员从安全的全局组中移除
4732 将成员添加到启用安全的本地组中
4733 将成员从启用安全的本地组中移除
4756 将成员添加到启用安全的通用组中
4757 将成员从启用安全的通用组中移除
4719 系统审计策略修改

登陆类型–描述:
2 交互式登录（用户从控制台登录）
3 网络（例如：通过net use,访问共享网络）
4 批处理（为批处理程序保留）
5 服务启动（服务登录）
6 不支持
7 解锁（带密码保护的屏幕保护程序的无人值班工作站）
8 网络明文（IIS 服务器登录验证）
10 远程交互（终端服务，远程桌面，远程辅助）
11 缓存域证书登录

1、开启终端，打开windows事件查看器

eventvwr.msc

2、登录成功的日志

3、登陆失败的日志