LOG日志溯源取证总结
windows操作系统事件日志
C:\Windows\System32\winevt\Logs\ *( XP C:\Windows\System32)
- 应用程序日志 App Event.Evtx(Application.evtx)
- 安全日志 SecEvent.Evtx
- 系统日志 SysEvent.Evtx
USB设备第一次连接电脑:setupapi.log
Windows7/8:\Windows\inf\setupapi.dev.log \ Windows XP:\Windows\setupapi.log \
Microsoft- Windows- DriverFrameworks-UserMode/Operational Event Log
- 加载USB设备驱动时,日志ID号为1003.2003.2010.2004.2105等
- USB设备从系统移除,日志ID号为2100.2102.1006.2900等
ParentIDPrefix
Linux操作系统事件日志
由/etc/syslog.conf文件配置 格式:facility.loglevel logtarget
| facility(日志级别) | 描述 |
|---|---|
| auth | 安全性/验证信息(负面) |
| authpriv | 安全性/验证信息 |
| cron | 系统定时任务 |
| daemon | 其他系统守护进程 |
| kern | 内核信息 |
| lpr | 行打印字系统 |
| 邮件子系统 | |
| news | 新闻消息 |
| syslog | 内部syslog消息 |
| user | 一般用户级消息 |
| uucp | UUCP子系统 |
| Local0-local7 | 自定义的级别 |
| loglevel(日志级别) | 描述 |
|---|---|
| emerg | 系统已不可用 |
| alert | 必须马上采取行动 |
| crit | 危急 |
| err | 错误 |
| warning | 警告 |
| loglevel | 描述 |
| notice | 普通但重要的情形 |
| info | 通知信息 |
| debug | 调试信息 |
| logtarget(日志信息的存放位置) | 描述 |
|---|---|
| /path/filename | 将消息追加在指定文件的尾部 |
| @loghost | 将消息写到loghost的日志服务器中 |
| /path/named_pipe | 将消息写到指定的管道 |
| User1,User2 | 将消息写到所列的用户 |
| * | 将消息写到所有的用户 |
| /dev/console | 将消息写到指定的终端 |
例:kern.notice/var/log/kern.log 表示将内核的优先级别为notice或者更高级别的日志信息纪录到/var/log/kern.log文件中
常见的日志文件及其查看方法
| 日志文件 | 记录信息 | 查看方法 |
|---|---|---|
| /var/log/secure | 记录系统安全信息 | 直接查看 |
| /var/log/boot.log | 记录系统引导过程中能够发生的事件(Linux系统开机自检过程显示的信息) | 直接查看 |
| /var/log/message | 主要记录系统所发生的错误信息 | 直接查看 |
| /var/log/mail | 记录发送到系统或从系统发出的电子邮件的活动 | 直接查看 |
| /var/log/xferlog | 记录FTP会话 | 直接查看 |
| /var/log/cron | 记录例行性服务信息 | 直接查看 |
| User1,User2 | 记录su命令信息 | 直接查看 |
| /var/adm/sulog | 记录用户最近成功登录事件和最后一次不成功登录事件 | lastlog命令 |
| /var/log/lastlog | 记录每个用户登录、注销及系统启动、停机的事件 | last命令 |
| /var/log/wtmp | 记录与当前登录用户相关的信息 | who或users命令 |
| /var/log/utmp | 记录命令执行记录 | 直接查看 |
| ~/ .bash_ history | 记录例行性服务信息 | 直接查看 |
| web日志文件 | 记录web访问信息 | 直接查看 |
| 路由器日志文件 | 记录路由器相关信息 | 直接查看 |
