【http://blog.csdn.net/cnbird2008/article/details/5792626】
General Approach
通用方法
1. Identify which log sources and automated tools you can use during the analysis.
确认哪些日志源和自动化工具在分析过程中可以使用。
2. Copy log records to a single location where you will be able to review them.
将日志记录拷贝到你可以进行复查的地方。
3. Minimize “noise” by removing routine, repetitive log entries from view after confirming that they are benign. 
在确认日志不处于严重级别之后,通过移除常规、重复的日志记录来降噪。
4. Determine whether you can rely on logs' time stamps; consider time zone differences.
考虑到时区的不同,决定是否信赖日志的时间戳。
5. Focus on recent changes, failures, errors, status changes, access and administration events, and other events unusual for your environment.
关注你环境中最近的变更、失败、错误、状态变化、访问和管理事件,以及其他的异常事件。
6. Go backwards in time from now to reconstruct actions after and before the incident.
从现在开始回溯来重现事件发生前后的动作。
7. Correlate activities across different logs to get a comprehensive picture.
通过不同的日志来关联动作从而得到一幅综合的画面。
8. Develop theories about what occurred; explore logs to confirm or disprove them.
根据理论知识来判断发生了什么,并通过研究日志来确认或否定它们。
Potential Security Log Sources
可能的安全日志源
Server and workstation operating system logs
服务器或工作站操作系统日志
Application logs (e.g., web server, database server)
应用日志(如WEB服务器、数据库服务器)
Security tool logs (e.g., anti-virus, change detection, intrusion detection/prevention system)
安全工具日志(如反病毒、变更探测、IDS/IPS等)
Outbound proxy logs and end-user application logs
边界代理日志和终端应用日志
Remember to consider other, non-log sources for security events.
记住考虑其他,与安全事件有关的非日志源
Typical Log Locations
典型日志位置
Linux OS and core applications: /var/log
Linux操作系统和关键应用:/var/log
Windows OS and core applications: Windows Event Log (Security, System, Application)
Windows操作系统和关键应用:Windows Event Log (Security, System, Application)
Network devices: usually logged via Syslog; some use proprietary locations and formats
网络设备:通常通过syslog方式记录:某些使用私有位置和格式。
What to Look for on Linux
Linux下查看什么
Successful user login
用户登陆成功 “Accepted password”,
“Accepted publickey”,
"session opened”
Failed user login
用户登录失败 “authentication failure”,
“failed password”
User log-off(用户登出) “session closed”
User account change or deletion
用户账户变更或删除 “password changed”,
“new user”,
“delete user”
Sudo actions
SUDO动作 “sudo: … COMMAND=…”
“FAILED su”
Service failure(服务失败) “failed” or “failure”

What to Look for on Windows
Windows下查看什么
Event IDs are listed below for Windows 2000/XP. For Vista/7 security event ID, add 4096 to the event ID.
Windows 2000/XP/2003的事件ID如下所示, Vista/7 /2008的事件ID需要加上4096.
Most of the events below are in the Security log; many are only logged on the domain controller.
以下是安全日志中的绝大部分事件,部分仅仅是域控制器的记录。
User logon/logoff events
用户登入/登出事件 Successful logon 528, 540; failed logon 529-537, 539; logoff 538, 551, etc
User account changes
用户账户变更 Created 624; enabled 626; changed 642; disabled 629; deleted 630
Password changes
密码变更 To self: 628; to others: 627
Service started or stopped
服务启动或停止 7035, 7036, etc.
Object access denied (if auditing enabled)
访问对象拒绝 560, 567, etc
What to Look for on Network Devices
网络设备下查看什么
Look at both inbound and outbound activities.
寻找同时包含进站和出站的活动
Examples below show log excerpts from Cisco ASA logs; other devices have similar functionality.(以思科设备为例)
Traffic allowed on firewall
FW允许通过 “Built … connection”,
“access-list … permitted”
Traffic blocked on firewall
FW拒绝通过 “access-list … denied”,
“deny inbound”,
“Deny … by”
Bytes transferred (large files?)
字节转移 “Teardown TCP connection … duration … bytes …”
Bandwidth and protocol usage
带宽和协议使用 “limit … exceeded”,
“CPU utilization”
Detected attack activity
监测到攻击活动 “attack from”
User account changes
用户账户变更 “user added”,
“user deleted”,
“User priv level changed”
Administrator access
管理员访问 “AAA user …”,
“User … locked out”,
“login failed”
What to Look for on Web Servers
WEB服务器下查看什么
Excessive access attempts to non-existent files
频繁尝试访问不存在的文件
Code (SQL, HTML) seen as part of the URL
URL里边存在(SQL/HTML)代码
Access to extensions you have not implemented
访问你没有使之生效的扩展服务
Web service stopped/started/failed messages
WEB服务停止/启动/出错的消息
Access to “risky” pages that accept user input
访问到允许用户输入的威胁页面
Look at logs on all servers in the load balancer pool
查看负载均衡集群中的所有机器的日志
Error code 200 on files that are not yours
文件中存在不属于自己的错误代码200
Failed user authentication
失败用户认证 Error code 401, 403
Invalid request
非法请求 Error code 400
Internal server error
内部服务器错误 Error code 500

这个是安全事件关键日志复查核查表,有兴趣的可以看一下。
通用方法
1. 确认哪些日志源和自动化工具在分析过程中可以使用。
2. 将日志记录拷贝到你可以进行复查的地方。
3. 在确认日志不处于严重级别之后,通过移除常规、重复的日志记录来降噪。
4. 考虑到时区的不同,决定是否信赖日志的时间戳。
5. 关注你环境中最近的变更、失败、错误、状态变化、访问和管理事件,以及其他的异常事件。
6. 从现在开始回溯来重现事件发生前后的动作。
7. 通过不同的日志来关联动作从而得到一幅综合的画面。
8. 根据理论知识来判断发生了什么,并通过研究日志来确认或否定它们。

可能的安全日志源

服务器或工作站操作系统日志

应用日志(如WEB服务器、数据库服务器)

安全工具日志(如反病毒、变更探测、IDS/IPS等)

边界代理日志和终端应用日志

记住考虑其他,与安全事件有关的非日志源

典型日志位置

Linux操作系统和关键应用:/var/log

Windows操作系统和关键应用:Windows Event Log (Security, System, Application)

网络设备:通常通过syslog方式记录:某些使用私有位置和格式。

Linux下查看什么
Successful user login
用户登陆成功 “Accepted password”,
“Accepted publickey”,
"session opened”
Failed user login
用户登录失败 “authentication failure”,
“failed password”
User log-off(用户登出) “session closed”
User account change or deletion
用户账户变更或删除 “password changed”,
“new user”,
“delete user”
Sudo actions
SUDO动作 “sudo: … COMMAND=…”
“FAILED su”
Service failure(服务失败) “failed” or “failure”

Windows下查看什么

Windows 2000/XP/2003的事件ID如下所示, Vista/7 /2008的事件ID需要加上4096.

以下是安全日志中的绝大部分事件,部分仅仅是域控制器的记录。
User logon/logoff events
用户登入/登出事件 Successful logon 528, 540; failed logon 529-537, 539; logoff 538, 551, etc
User account changes
用户账户变更 Created 624; enabled 626; changed 642; disabled 629; deleted 630
Password changes
密码变更 To self: 628; to others: 627
Service started or stopped
服务启动或停止 7035, 7036, etc.
Object access denied (if auditing enabled)
访问对象拒绝 560, 567, etc

网络设备下查看什么

寻找同时包含进站和出站的活动
以思科设备为例
Traffic allowed on firewall
FW允许通过 “Built … connection”,
“access-list … permitted”
Traffic blocked on firewall
FW拒绝通过 “access-list … denied”,
“deny inbound”,
“Deny … by”
Bytes transferred (large files?)
字节转移 “Teardown TCP connection … duration … bytes …”
Bandwidth and protocol usage
带宽和协议使用 “limit … exceeded”,
“CPU utilization”
Detected attack activity
监测到攻击活动 “attack from”
User account changes
用户账户变更 “user added”,
“user deleted”,
“User priv level changed”
Administrator access
管理员访问 “AAA user …”,
“User … locked out”,
“login failed”

WEB服务器下查看什么

频繁尝试访问不存在的文件

URL里边存在(SQL/HTML)代码

访问你没有使之生效的扩展服务

WEB服务停止/启动/出错的消息

访问到允许用户输入的威胁页面

查看负载均衡集群中的所有机器的日志

文件中存在不属于自己的错误代码200

失败用户认证 Error code 401, 403

非法请求 Error code 400

内部服务器错误 Error code 500

IDS 日志分析的更多相关文章

  1. 《Unix/Linux日志分析与流量监控》书稿完成

    <Unix/Linux日志分析与流量监控>书稿完成 近日,历时3年创作的75万字书稿已完成,本书紧紧围绕网络安全的主题,对各种Unix/Linux系统及网络服务日志进行了全面系统的讲解,从 ...

  2. LS1021ATWR开发板启动日志分析

    一.背景 LS1021ATWR开发板运行官方的openwrt系统 二.日志分析 2.1 linux相关日志 root@OpenWrt:/# reboot  重启 root@OpenWrt:/# [ 2 ...

  3. hadoop入门之海量Web日志分析 用Hadoop提取KPI统计指标

    转载自:http://blog.fens.me/hadoop-mapreduce-log-kpi/ 今天学习了这一篇博客,写得十分好,照着这篇博客敲了一遍. 发现几个问题, 一是这篇博客中采用的had ...

  4. web攻击日志分析之新手指

    0x00 前言 现实中可能会经常出现web日志当中出现一些被攻击的迹象,比如针对你的一个站点的URL进行SQL注入测试等等,这时候需要你从日志当中分析到底是个什么情况,如果非常严重的话,可能需要调查取 ...

  5. web攻击日志分析之新手指南

    0x00 前言 现实中可能会经常出现web日志当中出现一些被攻击的迹象,比如针对你的一个站点的URL进行SQL注入测试等等,这时候需要你从日志当中分析到底是个什么情况,如果非常严重的话,可能需要调查取 ...

  6. 【转】gc日志分析工具

    性能测试排查定位问题,分析调优过程中,会遇到要分析gc日志,人肉分析gc日志有时比较困难,相关图形化或命令行工具可以有效地帮助辅助分析. Gc日志参数 通过在tomcat启动脚本中添加相关参数生成gc ...

  7. 海量日志分析方案--logstash+kibnana+kafka

    下图为唯品会在qcon上面公开的日志处理平台架构图.听后觉得有些意思,好像也可以很容易的copy一个,就动手尝试了一下. 目前只对flume===>kafka===>elacsticSea ...

  8. ELK+Kafka集群日志分析系统

    ELK+Kafka集群分析系统部署 因为是自己本地写好的word文档复制进来的.格式有些出入还望体谅.如有错误请回复.谢谢! 一. 系统介绍 2 二. 版本说明 3 三. 服务部署 3 1) JDK部 ...

  9. Hadoop学习笔记—20.网站日志分析项目案例(一)项目介绍

    网站日志分析项目案例(一)项目介绍:当前页面 网站日志分析项目案例(二)数据清洗:http://www.cnblogs.com/edisonchou/p/4458219.html 网站日志分析项目案例 ...

随机推荐

  1. web安全实战

    前言 本章将主要介绍使用Node.js开发web应用可能面临的安全问题,读者通过阅读本章可以了解web安全的基本概念,并且通过各种防御措施抵御一些常规的恶意攻击,搭建一个安全的web站点. 在学习本章 ...

  2. IOS 解析XML--使用NSXML

    一.解析文档顺序触发的函数 1.parserDidStartDocument,在文档的时候触发. 2.parser:didStartElement:namespaceURI:qualifiedName ...

  3. 通过命令行连接oracle数据库/进入sql plus

    1.直接打开SQL Plus登录,需要用户名和密码 开始->程序->Oracle->应用程序开发->sqlplus 我的电脑是“开始”->“Oracle - OraDb1 ...

  4. undrop for innodb c_parser 不完美之处

    今天发现c_parser导出数据是会丢掉某些行,给过调试发现是他处理utf8编码时计算有误,目前还没有发现自动解决总是的方法,只会手动改代码来解决. 下一步计划把c_parser移植到windows下 ...

  5. .NET清楚Cookies

    foreach (string cookiename in Request.Cookies.AllKeys) { HttpCookie cookies = Request.Cookies[cookie ...

  6. nand flash相关

    关于nandflash的说明,请参考其他. 现在先贴出来韦东山先生的代码,作我学习之用. @************************************************ @ Fil ...

  7. shadow服务端、客户端配置流程

    服务端 系统环境 CentOS 7 64位,由于系统自带python,shadowsocks服务端我们选择python版,过程如下 yum install python-setuptools & ...

  8. KnockoutJS(4)-控制文本和外观绑定

    控制文本和外观绑定 依赖关系:除了Knockout核心库之外,无依赖关系. 类别 目的 Visible绑定 Visible绑定通过绑定一个值来确定DOM元素显示或隐藏 Text绑定 Text绑定主要是 ...

  9. StringBuilder的Append()方法会比+=效率高

    StringBuilder strSql = new StringBuilder(); strSql.Append("select top 1 id from " + databa ...

  10. php+mysql非缓冲查询(如何循环大数组)

    另外一种PHP查询模式是非缓冲查询,数据库服务器会一条一条的返回数据,而不是一次全部返回,这样的结果就是PHP程序消耗较少的内存,但却增加了数据库服务器的压力,因为数据库会一直等待PHP来取数据,一直 ...