【http://blog.csdn.net/cnbird2008/article/details/5792626】
General Approach
通用方法
1. Identify which log sources and automated tools you can use during the analysis.
确认哪些日志源和自动化工具在分析过程中可以使用。
2. Copy log records to a single location where you will be able to review them.
将日志记录拷贝到你可以进行复查的地方。
3. Minimize “noise” by removing routine, repetitive log entries from view after confirming that they are benign. 
在确认日志不处于严重级别之后,通过移除常规、重复的日志记录来降噪。
4. Determine whether you can rely on logs' time stamps; consider time zone differences.
考虑到时区的不同,决定是否信赖日志的时间戳。
5. Focus on recent changes, failures, errors, status changes, access and administration events, and other events unusual for your environment.
关注你环境中最近的变更、失败、错误、状态变化、访问和管理事件,以及其他的异常事件。
6. Go backwards in time from now to reconstruct actions after and before the incident.
从现在开始回溯来重现事件发生前后的动作。
7. Correlate activities across different logs to get a comprehensive picture.
通过不同的日志来关联动作从而得到一幅综合的画面。
8. Develop theories about what occurred; explore logs to confirm or disprove them.
根据理论知识来判断发生了什么,并通过研究日志来确认或否定它们。
Potential Security Log Sources
可能的安全日志源
Server and workstation operating system logs
服务器或工作站操作系统日志
Application logs (e.g., web server, database server)
应用日志(如WEB服务器、数据库服务器)
Security tool logs (e.g., anti-virus, change detection, intrusion detection/prevention system)
安全工具日志(如反病毒、变更探测、IDS/IPS等)
Outbound proxy logs and end-user application logs
边界代理日志和终端应用日志
Remember to consider other, non-log sources for security events.
记住考虑其他,与安全事件有关的非日志源
Typical Log Locations
典型日志位置
Linux OS and core applications: /var/log
Linux操作系统和关键应用:/var/log
Windows OS and core applications: Windows Event Log (Security, System, Application)
Windows操作系统和关键应用:Windows Event Log (Security, System, Application)
Network devices: usually logged via Syslog; some use proprietary locations and formats
网络设备:通常通过syslog方式记录:某些使用私有位置和格式。
What to Look for on Linux
Linux下查看什么
Successful user login
用户登陆成功 “Accepted password”,
“Accepted publickey”,
"session opened”
Failed user login
用户登录失败 “authentication failure”,
“failed password”
User log-off(用户登出) “session closed”
User account change or deletion
用户账户变更或删除 “password changed”,
“new user”,
“delete user”
Sudo actions
SUDO动作 “sudo: … COMMAND=…”
“FAILED su”
Service failure(服务失败) “failed” or “failure”

What to Look for on Windows
Windows下查看什么
Event IDs are listed below for Windows 2000/XP. For Vista/7 security event ID, add 4096 to the event ID.
Windows 2000/XP/2003的事件ID如下所示, Vista/7 /2008的事件ID需要加上4096.
Most of the events below are in the Security log; many are only logged on the domain controller.
以下是安全日志中的绝大部分事件,部分仅仅是域控制器的记录。
User logon/logoff events
用户登入/登出事件 Successful logon 528, 540; failed logon 529-537, 539; logoff 538, 551, etc
User account changes
用户账户变更 Created 624; enabled 626; changed 642; disabled 629; deleted 630
Password changes
密码变更 To self: 628; to others: 627
Service started or stopped
服务启动或停止 7035, 7036, etc.
Object access denied (if auditing enabled)
访问对象拒绝 560, 567, etc
What to Look for on Network Devices
网络设备下查看什么
Look at both inbound and outbound activities.
寻找同时包含进站和出站的活动
Examples below show log excerpts from Cisco ASA logs; other devices have similar functionality.(以思科设备为例)
Traffic allowed on firewall
FW允许通过 “Built … connection”,
“access-list … permitted”
Traffic blocked on firewall
FW拒绝通过 “access-list … denied”,
“deny inbound”,
“Deny … by”
Bytes transferred (large files?)
字节转移 “Teardown TCP connection … duration … bytes …”
Bandwidth and protocol usage
带宽和协议使用 “limit … exceeded”,
“CPU utilization”
Detected attack activity
监测到攻击活动 “attack from”
User account changes
用户账户变更 “user added”,
“user deleted”,
“User priv level changed”
Administrator access
管理员访问 “AAA user …”,
“User … locked out”,
“login failed”
What to Look for on Web Servers
WEB服务器下查看什么
Excessive access attempts to non-existent files
频繁尝试访问不存在的文件
Code (SQL, HTML) seen as part of the URL
URL里边存在(SQL/HTML)代码
Access to extensions you have not implemented
访问你没有使之生效的扩展服务
Web service stopped/started/failed messages
WEB服务停止/启动/出错的消息
Access to “risky” pages that accept user input
访问到允许用户输入的威胁页面
Look at logs on all servers in the load balancer pool
查看负载均衡集群中的所有机器的日志
Error code 200 on files that are not yours
文件中存在不属于自己的错误代码200
Failed user authentication
失败用户认证 Error code 401, 403
Invalid request
非法请求 Error code 400
Internal server error
内部服务器错误 Error code 500

这个是安全事件关键日志复查核查表,有兴趣的可以看一下。
通用方法
1. 确认哪些日志源和自动化工具在分析过程中可以使用。
2. 将日志记录拷贝到你可以进行复查的地方。
3. 在确认日志不处于严重级别之后,通过移除常规、重复的日志记录来降噪。
4. 考虑到时区的不同,决定是否信赖日志的时间戳。
5. 关注你环境中最近的变更、失败、错误、状态变化、访问和管理事件,以及其他的异常事件。
6. 从现在开始回溯来重现事件发生前后的动作。
7. 通过不同的日志来关联动作从而得到一幅综合的画面。
8. 根据理论知识来判断发生了什么,并通过研究日志来确认或否定它们。

可能的安全日志源

服务器或工作站操作系统日志

应用日志(如WEB服务器、数据库服务器)

安全工具日志(如反病毒、变更探测、IDS/IPS等)

边界代理日志和终端应用日志

记住考虑其他,与安全事件有关的非日志源

典型日志位置

Linux操作系统和关键应用:/var/log

Windows操作系统和关键应用:Windows Event Log (Security, System, Application)

网络设备:通常通过syslog方式记录:某些使用私有位置和格式。

Linux下查看什么
Successful user login
用户登陆成功 “Accepted password”,
“Accepted publickey”,
"session opened”
Failed user login
用户登录失败 “authentication failure”,
“failed password”
User log-off(用户登出) “session closed”
User account change or deletion
用户账户变更或删除 “password changed”,
“new user”,
“delete user”
Sudo actions
SUDO动作 “sudo: … COMMAND=…”
“FAILED su”
Service failure(服务失败) “failed” or “failure”

Windows下查看什么

Windows 2000/XP/2003的事件ID如下所示, Vista/7 /2008的事件ID需要加上4096.

以下是安全日志中的绝大部分事件,部分仅仅是域控制器的记录。
User logon/logoff events
用户登入/登出事件 Successful logon 528, 540; failed logon 529-537, 539; logoff 538, 551, etc
User account changes
用户账户变更 Created 624; enabled 626; changed 642; disabled 629; deleted 630
Password changes
密码变更 To self: 628; to others: 627
Service started or stopped
服务启动或停止 7035, 7036, etc.
Object access denied (if auditing enabled)
访问对象拒绝 560, 567, etc

网络设备下查看什么

寻找同时包含进站和出站的活动
以思科设备为例
Traffic allowed on firewall
FW允许通过 “Built … connection”,
“access-list … permitted”
Traffic blocked on firewall
FW拒绝通过 “access-list … denied”,
“deny inbound”,
“Deny … by”
Bytes transferred (large files?)
字节转移 “Teardown TCP connection … duration … bytes …”
Bandwidth and protocol usage
带宽和协议使用 “limit … exceeded”,
“CPU utilization”
Detected attack activity
监测到攻击活动 “attack from”
User account changes
用户账户变更 “user added”,
“user deleted”,
“User priv level changed”
Administrator access
管理员访问 “AAA user …”,
“User … locked out”,
“login failed”

WEB服务器下查看什么

频繁尝试访问不存在的文件

URL里边存在(SQL/HTML)代码

访问你没有使之生效的扩展服务

WEB服务停止/启动/出错的消息

访问到允许用户输入的威胁页面

查看负载均衡集群中的所有机器的日志

文件中存在不属于自己的错误代码200

失败用户认证 Error code 401, 403

非法请求 Error code 400

内部服务器错误 Error code 500

IDS 日志分析的更多相关文章

  1. 《Unix/Linux日志分析与流量监控》书稿完成

    <Unix/Linux日志分析与流量监控>书稿完成 近日,历时3年创作的75万字书稿已完成,本书紧紧围绕网络安全的主题,对各种Unix/Linux系统及网络服务日志进行了全面系统的讲解,从 ...

  2. LS1021ATWR开发板启动日志分析

    一.背景 LS1021ATWR开发板运行官方的openwrt系统 二.日志分析 2.1 linux相关日志 root@OpenWrt:/# reboot  重启 root@OpenWrt:/# [ 2 ...

  3. hadoop入门之海量Web日志分析 用Hadoop提取KPI统计指标

    转载自:http://blog.fens.me/hadoop-mapreduce-log-kpi/ 今天学习了这一篇博客,写得十分好,照着这篇博客敲了一遍. 发现几个问题, 一是这篇博客中采用的had ...

  4. web攻击日志分析之新手指

    0x00 前言 现实中可能会经常出现web日志当中出现一些被攻击的迹象,比如针对你的一个站点的URL进行SQL注入测试等等,这时候需要你从日志当中分析到底是个什么情况,如果非常严重的话,可能需要调查取 ...

  5. web攻击日志分析之新手指南

    0x00 前言 现实中可能会经常出现web日志当中出现一些被攻击的迹象,比如针对你的一个站点的URL进行SQL注入测试等等,这时候需要你从日志当中分析到底是个什么情况,如果非常严重的话,可能需要调查取 ...

  6. 【转】gc日志分析工具

    性能测试排查定位问题,分析调优过程中,会遇到要分析gc日志,人肉分析gc日志有时比较困难,相关图形化或命令行工具可以有效地帮助辅助分析. Gc日志参数 通过在tomcat启动脚本中添加相关参数生成gc ...

  7. 海量日志分析方案--logstash+kibnana+kafka

    下图为唯品会在qcon上面公开的日志处理平台架构图.听后觉得有些意思,好像也可以很容易的copy一个,就动手尝试了一下. 目前只对flume===>kafka===>elacsticSea ...

  8. ELK+Kafka集群日志分析系统

    ELK+Kafka集群分析系统部署 因为是自己本地写好的word文档复制进来的.格式有些出入还望体谅.如有错误请回复.谢谢! 一. 系统介绍 2 二. 版本说明 3 三. 服务部署 3 1) JDK部 ...

  9. Hadoop学习笔记—20.网站日志分析项目案例(一)项目介绍

    网站日志分析项目案例(一)项目介绍:当前页面 网站日志分析项目案例(二)数据清洗:http://www.cnblogs.com/edisonchou/p/4458219.html 网站日志分析项目案例 ...

随机推荐

  1. visual studio 2015预览版系统需求

    visual studio 2015预览版的系统需求跟visual studio 2013的一样. 支持visual studio 2015 preview的操作系统:Windows 8.1(x86 ...

  2. 模板与继承之艺术——奇特的递归模板模式(CRTP)

    一.什么是CRTP 奇特的模板递归模式(Curiously Recurring Template Pattern)即将派生类本身作为模板参数传递给基类. template<typename T& ...

  3. iOS进阶——App生命周期

    State Description Not running The app has not been launched or was running but was terminated by the ...

  4. Android 布局 中实现适应屏幕大小及组件滚动

    要实现如图的布局: 这是在eclipse可视化窗口中的截图,但实际运行在Android设备上可能出现的问题有: (1):当编辑图1中的最后一个EditText时,输入法的编辑界面会把底部的Button ...

  5. 前端构建工具gulp入门教程

    本文假设你之前没有用过任何任务脚本(task runner)和命令行工具,一步步教你上手Gulp.不要怕,它其实很简单,我会分为五步向你介绍gulp并帮助你完成一些惊人的事情.那就直接开始吧. 第一步 ...

  6. phpcms v9 自定义分页 带下拉跳转

    <?php function new_pages($num, $curr_page, $perpage = 20, $urlrule = '', $array = array(),$setpag ...

  7. Spark小课堂Week3 FirstSparkApp(Dataframe开发)

    Spark小课堂Week3 FirstSparkApp(代码优化) RDD代码简化 对于昨天练习的代码,我们可以从几个方面来简化: 使用fluent风格写法,可以减少对于中间变量的定义. 使用lamb ...

  8. Failed to execute command: ""C:\Program Files (x86)\Microsoft SDKs\Windows\v7.0A\Bin\ResGen.exe" 的一个解决办法

    最近在做wpf项目,期间下了一些源码参考,但是在build时经常遇到下面这种bug: Error 2 Failed to execute command: ""C:\Program ...

  9. ASP.NET 页面传值得9种方式

    1. Get(即使用QueryString显式传递)     方式:在url后面跟参数.     特点:简单.方便.     缺点:字符串长度最长为255个字符:数据泄漏在url中.     适用数据 ...

  10. EXTJS 4.2 资料 控件之checkboxgroup的用法(静态数据)

    1.页面 1.1点击‘横幅’,需要动态显示隐藏文本框 { xtype: 'fieldset', title: '指定附加图&横幅设置', collapsible: true, items: [ ...