《操作系统安全加固》 课件 模块4-任务2 日志过滤.pptx

日志管理日志过滤

课前准备1.观看视频，学习Windows和Linux日志过滤方法。Windows日志过滤方法Linux日志过滤方法

情境导入公司依据网络等级保护三级对于日志管理的要求：“应详细记录运维操作日志，包括日常巡检工作、运行维护记录、参数的设置和修改等内容”。为了精准查看企业用户操作系统日志，管理员需要通过过滤技术进行系统操作日志筛选，从而及时发现可能存在的异常情况，做好系统的安全防护工作。根据预习资料，思考请例举:如何使用事件查看器工具查看Windows安全日志？

情境导入-教师基于问题及课前自测情况开展评价活动学生回答教师提出的问题教师基于问题及课前自测情况开展活动教师对学生的回答结果进行分类概括教师展示学生预习自测题情况教师就提出的问题及测试结果完成课前评价

1.使用事件查看器工具查看Windows安全日志；2.使用事件查看器工具过滤特定的事件ID。根据安全管理要求，提出任务教学活动一：在给出的Windows安全日志中找出所需的日志为此，管理员需要完成以下运维工作：

分析任务开展讨论，明确任务要求和任务目的：1.了解Windows安全日志的特定事件ID提问、设疑：如何使用事件查看器工具查看Windows安全日志？组织讨论与展示，教师点评、组织学生互评教学活动一：在给出的Windows安全日志中找出所需的日志

步骤01任务步骤打开事件查看器并查看windows安全日志。步骤02在安全日志操作窗口输入事件ID：4720，查看创建用户成功情况。步骤03选择事件属性命令查看事件ID：4720属性。步骤04在安全日志操作窗口输入事件ID：4726，查看删除用户成功情况。步骤05选择事件属性命令查看事件ID：4726属性。教学活动一：在给出的Windows安全日志中找出所需的日志

任务初探.下发操作视频巡视指导学生、解答疑惑组织学生演示分享教学活动一：在给出的Windows安全日志中找出所需的日志学生根据操作视频，讨论完成任务教师点评（学生参与度、任务完成情况）、组织学生互评

教师评价学生练习、点评实战结果提出教学KR指标110分钟内完成Windows中使用事件查看器工具过滤特定的事件ID的任务01学生再次练习完成KR指标102教师点评展示学生的KR1活动达标率情况教学活动一：在给出的Windows安全日志中找出所需的日志

根据等级保护的日志管理要求教学活动二：使用grep或egrep命令从给定的Linux日志中找出所需的日志管理员需要定期对Linux系统登录日志进行过滤，从而及时发现系统可能存在的安全风险，进行相关预防和安全加固工作。组织讨论讨论Linux系统日志过滤方法。设问：Linux系统内安全日志与系统日志的路径分别是什么？分小组展示讨论的结果

小结小组讨论教学活动二：使用grep或egrep命令从给定的Linux日志中找出所需的日志grep命令的用法、参数和示例.egrep命令的用法、参数和示例。教师点评、组织学生互评

步骤01任务步骤使用grep相关命令，过滤出linux安全日志内指定日期的内容。步骤02使用grep相关命令，过滤出linux系统日志内带“info”的日志内容。分析任务：根据任务要求，讨论任务完成步骤教学活动二：使用grep或egrep命令从给定的Linux日志中找出所需的日志

小结任务步骤教学活动二：使用grep或egrep命令从给定的Linux日志中找出所需的日志过滤并分析安全日志内的各项日志内容；过滤并分析系统日志内的各项日志内容。教师点评、组织学生互评

任务初探任务单巡视指导学生、解答疑惑教学活动二：使用grep或egrep命令从给定的Linux日志中找出所需的日志教师点评、组织学生互评完成任务

教师对学生的交流合作情况进行评价提出教学KR2指标15分钟内完成活动相关域用户账户和组的创建01学生再次练习完成KR2指标02教师点评展示学生的KR2活动达标率情况教学活动二：使用grep或egrep命令从给定的Linux日志中找出所需的日志

课堂总结学习要点在给出的Windows安全日志中找出所需的日志使用grep或egrep命令从给定的Linux日志中找出所需的日志思政要点网络安全法要求企业要按等保要求，安全个体要有安全意识企业的安全要实施管理与技术都要有要求，才能实现安全基本要求

课后作业实训：在linux系统内使用egrep命令过滤关键字为“info”的message日志文件并分析。

谢谢观看自己动手练习练习吧!