LOG日志溯源取证总结

windows操作系统事件日志

C:\Windows\System32\winevt\Logs\ *( XP C:\Windows\System32)

• 应用程序日志 App Event.Evtx(Application.evtx)
• 安全日志 SecEvent.Evtx
• 系统日志 SysEvent.Evtx

USB设备第一次连接电脑：setupapi.log

Windows7/8:\Windows\inf\setupapi.dev.log \ Windows XP:\Windows\setupapi.log \

Microsoft- Windows- DriverFrameworks-UserMode/Operational Event Log

• 加载USB设备驱动时,日志ID号为1003.2003.2010.2004.2105等
• USB设备从系统移除,日志ID号为2100.2102.1006.2900等

ParentIDPrefix

Linux操作系统事件日志

由/etc/syslog.conf文件配置 格式：facility.loglevel logtarget

facility(日志级别)	描述
auth	安全性/验证信息（负面）
authpriv	安全性/验证信息
cron	系统定时任务
daemon	其他系统守护进程
kern	内核信息
lpr	行打印字系统
mail	邮件子系统
news	新闻消息
syslog	内部syslog消息
user	一般用户级消息
uucp	UUCP子系统
Local0-local7	自定义的级别

loglevel(日志级别)	描述
emerg	系统已不可用
alert	必须马上采取行动
crit	危急
err	错误
warning	警告
loglevel	描述
notice	普通但重要的情形
info	通知信息
debug	调试信息

logtarget(日志信息的存放位置)	描述
/path/filename	将消息追加在指定文件的尾部
@loghost	将消息写到loghost的日志服务器中
/path/named_pipe	将消息写到指定的管道
User1,User2	将消息写到所列的用户
*	将消息写到所有的用户
/dev/console	将消息写到指定的终端

例：kern.notice/var/log/kern.log 表示将内核的优先级别为notice或者更高级别的日志信息纪录到/var/log/kern.log文件中

常见的日志文件及其查看方法

日志文件	记录信息	查看方法
/var/log/secure	记录系统安全信息	直接查看
/var/log/boot.log	记录系统引导过程中能够发生的事件（Linux系统开机自检过程显示的信息）	直接查看
/var/log/message	主要记录系统所发生的错误信息	直接查看
/var/log/mail	记录发送到系统或从系统发出的电子邮件的活动	直接查看
/var/log/xferlog	记录FTP会话	直接查看
/var/log/cron	记录例行性服务信息	直接查看
User1,User2	记录su命令信息	直接查看
/var/adm/sulog	记录用户最近成功登录事件和最后一次不成功登录事件	lastlog命令
/var/log/lastlog	记录每个用户登录、注销及系统启动、停机的事件	last命令
/var/log/wtmp	记录与当前登录用户相关的信息	who或users命令
/var/log/utmp	记录命令执行记录	直接查看
~/ .bash_ history	记录例行性服务信息	直接查看
web日志文件	记录web访问信息	直接查看
路由器日志文件	记录路由器相关信息	直接查看

WWW日志、FTP日志、邮件日志默认存放在C：\windows\system32\logfiles\,该目录下的W3SVC1目录存放WWW日志、FTP日志和邮件日志默认存放位置，MSFTPSVC1存放FTP日志、MSSMTPSVC1存放SMTP日志，文件名格式默认为ex*.log.