LOG日志溯源取证总结

windows操作系统事件日志

C:\Windows\System32\winevt\Logs\ *( XP C:\Windows\System32)

  • 应用程序日志 App Event.Evtx(Application.evtx)
  • 安全日志 SecEvent.Evtx
  • 系统日志 SysEvent.Evtx

USB设备第一次连接电脑:setupapi.log

Windows7/8:\Windows\inf\setupapi.dev.log \ Windows XP:\Windows\setupapi.log \

Microsoft- Windows- DriverFrameworks-UserMode/Operational Event Log

  • 加载USB设备驱动时,日志ID号为1003.2003.2010.2004.2105等
  • USB设备从系统移除,日志ID号为2100.2102.1006.2900等

ParentIDPrefix

Linux操作系统事件日志

由/etc/syslog.conf文件配置 格式:facility.loglevel logtarget

facility(日志级别)描述
auth 安全性/验证信息(负面)
authpriv 安全性/验证信息
cron 系统定时任务
daemon 其他系统守护进程
kern 内核信息
lpr 行打印字系统
mail 邮件子系统
news 新闻消息
syslog 内部syslog消息
user 一般用户级消息
uucp UUCP子系统
Local0-local7 自定义的级别
loglevel(日志级别)描述
emerg 系统已不可用
alert 必须马上采取行动
crit 危急
err 错误
warning 警告
loglevel 描述
notice 普通但重要的情形
info 通知信息
debug 调试信息
logtarget(日志信息的存放位置)描述
/path/filename 将消息追加在指定文件的尾部
@loghost 将消息写到loghost的日志服务器中
/path/named_pipe 将消息写到指定的管道
User1,User2 将消息写到所列的用户
* 将消息写到所有的用户
/dev/console 将消息写到指定的终端

例:kern.notice/var/log/kern.log 表示将内核的优先级别为notice或者更高级别的日志信息纪录到/var/log/kern.log文件中

常见的日志文件及其查看方法

日志文件记录信息查看方法
/var/log/secure 记录系统安全信息 直接查看
/var/log/boot.log 记录系统引导过程中能够发生的事件(Linux系统开机自检过程显示的信息) 直接查看
/var/log/message 主要记录系统所发生的错误信息 直接查看
/var/log/mail 记录发送到系统或从系统发出的电子邮件的活动 直接查看
/var/log/xferlog 记录FTP会话 直接查看
/var/log/cron 记录例行性服务信息 直接查看
User1,User2 记录su命令信息 直接查看
/var/adm/sulog 记录用户最近成功登录事件和最后一次不成功登录事件 lastlog命令
/var/log/lastlog 记录每个用户登录、注销及系统启动、停机的事件 last命令
/var/log/wtmp 记录与当前登录用户相关的信息 who或users命令
/var/log/utmp 记录命令执行记录 直接查看
~/ .bash_ history 记录例行性服务信息 直接查看
web日志文件 记录web访问信息 直接查看
路由器日志文件 记录路由器相关信息 直接查看
WWW日志、FTP日志、邮件日志默认存放在C:\windows\system32\logfiles\,该目录下的W3SVC1目录存放WWW日志、FTP日志和邮件日志默认存放位置,MSFTPSVC1存放FTP日志、MSSMTPSVC1存放SMTP日志,文件名格式默认为ex*.log.
posted @ 2019-07-01 22:32 Hookjoy 阅读(...) 评论(...) 编辑 收藏