《操作系统安全加固》 课件 模块4-任务4 日志排查.pptx

日志管理日志排查

课前准备1.回顾日志的操作；2.观看日志分析案例。日志的操作日志分析案例

情境导入公司依据网络等级保护三级对于日志管理的要求：“应详细记录运维操作日志，包括日常巡检工作、运行维护记录、参数的设置和修改等内容”。为了记录和查看企业用户操作系统的日志，除了行政管理要求外，管理员还需要掌握对系统日志审计操作，从而及时发现可能存在的异常情况，做好系统的安全防护工作。为此，公司管理员需要完成以下运维工作：排查Windows日志；排查Linux日志。

情境导入-教师基于课前自测情况开展评价活动教师基于课前自测情况开展活动教师展示学生预习自测题情况教师就测试结果完成课前评价

1.攻击者是用什么手段进行渗透入侵？2.分析一下攻击者，用什么方式登录到当前主机的。3.登录后做了什么？根据安全管理要求，提出任务：教学活动一：排查Windows系统日志公司的WINDOWS服务器前天晚上突然服务有所异常，现经安全运维人员紧急处理，将服务器断网后，经过仔细排查，发现有帐号的登录，将服务器的日志已经导出带回。现要求安全技术人员对系统日志进行审计，要求如下：

教学活动一：排查Windows系统日志要找出恶意者做了什么，分析日志的步骤是什么？对于一份日志，我们应该是按怎么步骤进行分析？教师点评、组织学生互评

教学活动一：排查Windows系统日志步骤01任务步骤先初步浏览，发现不同的日志区间；步骤02筛选可疑事件ID；步骤03确定可疑事件ID出现的时间段；步骤04按照最后的时间段，继续向下排查；步骤05定位异常事件。

教学活动一：排查Windows系统日志任务初探下发任务单（课中资料）下发操作视频学生开展活动一实训教师点评任务完成情况

教学活动一：排查Windows系统日志教师点评活动一实训环节（参与度、完成情况）提出教学KR1目标10分钟内完成任务要求01学生再次练习完成KR1指标02教师点评KR1活动达标率

教学活动二：排查Linux日志公司的Linux服务器又到规定的运维时间，日志已经下载到本地，要求安全技术人员进本地Linux系统上对日志进行排查：提出活动内容Linux下可以用什么命令？Linux下的日志排查的步骤是什么？

教学活动二：排查Linux日志小结1讨论小结?Linux下可以使用sort,uniq,grep,awk等命令结合过滤与统计日志中的信息；小结2Linux下的日志排查的步骤与Windows是一样的（先粗后细）。教师点评，组织学生自评、互评设定共享权限的原则：

教学活动二：排查Linux日志步骤01任务步骤将实训的testlog.tar.gz日志文件在Linux系统中解包；步骤02按要求排查日志，找出最后一次root的登录时间、从什么地方登录；步骤03排查相关日志，找出最后一次网络登录的来源IP是什么；组织学生观看操作录屏分小组讨论任务步骤。步骤04查看系统登录错误的日志文件，找出最后二次错误登录的时间和来源；步骤05统计从ssh登录错误的次数，它们出现的时间段；步骤06排查相关日志,找到panda用户成功登录的时间；步骤07进一步排查日志，显示panda用户被验证错误的时间段；步骤08再进一下排查日志。

教学活动二：排查Linux日志步骤01任务步骤解压日志，初步浏览；（1）过滤root用户登录事件（2）过滤大量错误日志步骤02排查来源；步骤04教师点评，组织学生自拍、互评确定登录错误到最后一次登录成功时间段；排查其他影响。步骤03

教学活动二：排查Linux日志任务初探下发任务单（课中资料）下发操作视频，根据视频完成任务学生开展活动二实训教师评价学生小组完成任务情况

教学活动二：排查Linux日志教师点评活动二实训环节（参与度、完成情况）提出教学KR2目标10分钟内按要求完成Linux日志排查01学生再次练习完成KR2指标02教师点评KR2活动达标率

课堂总结学习要点排查Windows系统日志；排查Linux日志。思政要点网络安全法要求企业要按等保要求，安全个体要有安全意识；企业的安全要实施管理与技术都要有要求，才能实现安全基本要求。

课后作业思考与练习在简述排查Windows日志思路与步骤；简述排查Linux日志思路与步骤；记记grep命令的格式与使用方法；记忆awk命令的格式与使用方法；记忆sort、uniq等命令格式与使用方法。

谢谢观看自己动手练习练习吧!