计算机日志记录分析
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机日志记录 分析
第三组制 作
计算机系统日志的作用
系统日志是记录系统中硬件、软件和系统问 系统日志是记录系统中硬件、软件和系统问 题的信息, 题的信息,同时还可以监视系统中发生的事 Βιβλιοθήκη Baidu户可以通过它来检查错误发生的原因, 件。用户可以通过它来检查错误发生的原因, 或者寻找受到攻击时攻击者留下的痕迹。 或者寻找受到攻击时攻击者留下的痕迹。
查看系统日志方法
查看系统日志方法:开始→设置→控制面板→ 管理工具 中找到的“事件查看器”, 或者在【开始】→【运行】→输入 → → eventvwr.msc 也可以直接进入“事件查看器” 在“事件查看器”当中的系统日志中包 含了windows XP 系统组建记录的事件,在 启动过程中加载驱动程序和其他一些系统组 建的成功与否都记录在系统日志当中。
2.WWW日志分析 WWW服务同FTP服务一样,产生的日志也是在%systemroot%sys tem32LogFilesW3SVC1目录下,默认是每天一个日志文件。这里需要特别说明 一下,因为Web的日志和其他日志不同,它的分析要细致得多,需要管理员有丰 富的入侵、防护知识,并且要足够的细心,不然,很容易遗漏那种很简单的日志, 而通常这样的日志又是非常关键的。由于我们不可能一个一个分析,所以这里举 个简单例子: #Software: Microsoft Internet Information Services 5.0 #Version: 1.0 #Date: 20040419 03:091 #Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent) 20040419 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt) 20040419 03:094 192.168.1.26 192.168.1.37 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt) 通过分析第六行,可以看出2004年5月19日,IP地址为192.168.1.26的用户 通过访问IP地址为192.168.1.37机器的80端口,查看了一个页面iisstart.asp,这 位用户的浏览器为compatible;+MSIE+5.0;+Windows+98+DigExt,有经验的管 理员就可通过安全日志、FTP日志和WWW日志来确定入侵者的IP地址以及入侵 时间。 对现在非常常见的SQL注入式攻击,通过对put、get的检查,也可以大概判 断是那个页面出了问题,从而修补。
快速掌握典型入 侵日志分析
如今各式各样的Windows漏洞层出不穷,五花八门的入侵工具更是令 人眼花缭乱,稍微懂点网络知识的人都可以利用各种入侵工具进行入 侵,这可给我们的网管带来了很大的麻烦,虽然经过精心配置的服务 器可以抵御大部分入侵,但随着不断新出的漏洞,再高明的网管也不 敢保证一台务器长时间不会被侵入,所以,安全配置服务器并不能永 远阻止黑客入侵,而如何检测入侵者行动以保证服务器安全性就在这 样的情况下显得非常重要。 日志文件作为微软Windows系列操作系统中的一个特殊文件,在 安全方面具有无可替代的价值。它每天为我们忠实地记录下系统所发 生一切事件,利用它可以使系统管理员快速对潜在的系统入侵作出记 录和预测,但遗憾的是目前绝大多数的人都忽略了它的存在,反而是 因为黑客们光临才会使我们想起这个重要的系统日志文件,很有讽刺 意味。 在这里我们就不去讲什么日志文件的默认位置、常见备份方法等 基本技巧了,这样的东西黑防以前讲得很清楚了,大家可以翻看黑防 以前的杂志学习这些东西,我们今天来看看如何分析常见的日志文件 吧!
1.FTP日志分析 FTP日志和WWW日志在默认情况下,每天生成一个日志文件,包含了该日的一切记 录,文件名通常为ex(年份)(月份)(日期)。例如ex040419,就是2004年4月19日产 生的日志,用记事本可直接打开,普通的有入侵行为的日志一般是这样的: #Software: Microsoft Internet Information Services 5.0(微软IIS5.0) #Version: 1.0 (版本1.0) #Date: 20040419 0315 (服务启动时间日期) #Fields: time cip csmethod csuristem scstatus 0315 127.0.0.1 [1]USER administator 331(IP地址为127.0.0.1用户名为administator试 图登录) 0318 127.0.0.1 [1]PASS – 530(登录失败) 032:04 127.0.0.1 [1]USER nt 331(IP地址为127.0.0.1用户名为nt的用户试图登录) 032:06 127.0.0.1 [1]PASS – 530(登录失败) 032:09 127.0.0.1 [1]USER cyz 331(IP地址为127.0.0.1用户名为cyz的用户试图登录) 0322 127.0.0.1 [1]PASS – 530(登录失败) 0322 127.0.0.1 [1]USER administrator 331(IP地址为127.0.0.1用户名为administrator 试图登录) 0324 127.0.0.1 [1]PASS – 230(登录成功) 0321 127.0.0.1 [1]MKD nt 550(新建目录失败) 0325 127.0.0.1 [1]QUIT – 550(退出FTP程序) 从日志里就能看出IP地址为127.0.0.1的用户一直试图登录系统,换了四次用户名和密 码才成功,管理员立即就可以得知这个IP至少有入侵企图!而他的入侵时间、IP地址以及 探测的用户名都很清楚的记录在日志上。如上例入侵者最终是用Administrator用户名进入 的,那么就要考虑此用户名是不是密码失窃?还是被别人利用?接下来就要想想系统出什 么问题了。
第三组制 作
计算机系统日志的作用
系统日志是记录系统中硬件、软件和系统问 系统日志是记录系统中硬件、软件和系统问 题的信息, 题的信息,同时还可以监视系统中发生的事 Βιβλιοθήκη Baidu户可以通过它来检查错误发生的原因, 件。用户可以通过它来检查错误发生的原因, 或者寻找受到攻击时攻击者留下的痕迹。 或者寻找受到攻击时攻击者留下的痕迹。
查看系统日志方法
查看系统日志方法:开始→设置→控制面板→ 管理工具 中找到的“事件查看器”, 或者在【开始】→【运行】→输入 → → eventvwr.msc 也可以直接进入“事件查看器” 在“事件查看器”当中的系统日志中包 含了windows XP 系统组建记录的事件,在 启动过程中加载驱动程序和其他一些系统组 建的成功与否都记录在系统日志当中。
2.WWW日志分析 WWW服务同FTP服务一样,产生的日志也是在%systemroot%sys tem32LogFilesW3SVC1目录下,默认是每天一个日志文件。这里需要特别说明 一下,因为Web的日志和其他日志不同,它的分析要细致得多,需要管理员有丰 富的入侵、防护知识,并且要足够的细心,不然,很容易遗漏那种很简单的日志, 而通常这样的日志又是非常关键的。由于我们不可能一个一个分析,所以这里举 个简单例子: #Software: Microsoft Internet Information Services 5.0 #Version: 1.0 #Date: 20040419 03:091 #Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent) 20040419 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt) 20040419 03:094 192.168.1.26 192.168.1.37 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt) 通过分析第六行,可以看出2004年5月19日,IP地址为192.168.1.26的用户 通过访问IP地址为192.168.1.37机器的80端口,查看了一个页面iisstart.asp,这 位用户的浏览器为compatible;+MSIE+5.0;+Windows+98+DigExt,有经验的管 理员就可通过安全日志、FTP日志和WWW日志来确定入侵者的IP地址以及入侵 时间。 对现在非常常见的SQL注入式攻击,通过对put、get的检查,也可以大概判 断是那个页面出了问题,从而修补。
快速掌握典型入 侵日志分析
如今各式各样的Windows漏洞层出不穷,五花八门的入侵工具更是令 人眼花缭乱,稍微懂点网络知识的人都可以利用各种入侵工具进行入 侵,这可给我们的网管带来了很大的麻烦,虽然经过精心配置的服务 器可以抵御大部分入侵,但随着不断新出的漏洞,再高明的网管也不 敢保证一台务器长时间不会被侵入,所以,安全配置服务器并不能永 远阻止黑客入侵,而如何检测入侵者行动以保证服务器安全性就在这 样的情况下显得非常重要。 日志文件作为微软Windows系列操作系统中的一个特殊文件,在 安全方面具有无可替代的价值。它每天为我们忠实地记录下系统所发 生一切事件,利用它可以使系统管理员快速对潜在的系统入侵作出记 录和预测,但遗憾的是目前绝大多数的人都忽略了它的存在,反而是 因为黑客们光临才会使我们想起这个重要的系统日志文件,很有讽刺 意味。 在这里我们就不去讲什么日志文件的默认位置、常见备份方法等 基本技巧了,这样的东西黑防以前讲得很清楚了,大家可以翻看黑防 以前的杂志学习这些东西,我们今天来看看如何分析常见的日志文件 吧!
1.FTP日志分析 FTP日志和WWW日志在默认情况下,每天生成一个日志文件,包含了该日的一切记 录,文件名通常为ex(年份)(月份)(日期)。例如ex040419,就是2004年4月19日产 生的日志,用记事本可直接打开,普通的有入侵行为的日志一般是这样的: #Software: Microsoft Internet Information Services 5.0(微软IIS5.0) #Version: 1.0 (版本1.0) #Date: 20040419 0315 (服务启动时间日期) #Fields: time cip csmethod csuristem scstatus 0315 127.0.0.1 [1]USER administator 331(IP地址为127.0.0.1用户名为administator试 图登录) 0318 127.0.0.1 [1]PASS – 530(登录失败) 032:04 127.0.0.1 [1]USER nt 331(IP地址为127.0.0.1用户名为nt的用户试图登录) 032:06 127.0.0.1 [1]PASS – 530(登录失败) 032:09 127.0.0.1 [1]USER cyz 331(IP地址为127.0.0.1用户名为cyz的用户试图登录) 0322 127.0.0.1 [1]PASS – 530(登录失败) 0322 127.0.0.1 [1]USER administrator 331(IP地址为127.0.0.1用户名为administrator 试图登录) 0324 127.0.0.1 [1]PASS – 230(登录成功) 0321 127.0.0.1 [1]MKD nt 550(新建目录失败) 0325 127.0.0.1 [1]QUIT – 550(退出FTP程序) 从日志里就能看出IP地址为127.0.0.1的用户一直试图登录系统,换了四次用户名和密 码才成功,管理员立即就可以得知这个IP至少有入侵企图!而他的入侵时间、IP地址以及 探测的用户名都很清楚的记录在日志上。如上例入侵者最终是用Administrator用户名进入 的,那么就要考虑此用户名是不是密码失窃?还是被别人利用?接下来就要想想系统出什 么问题了。