电子数据检验Linux操作系统日志分析30课件.pptxVIP

Linux操作系统日志分析电子数据检验

目标Objectives要求了解Linux操作系统日志；分析Linux操作系统日志；

Linux操作系统日志分析一、Linux系统日志简介Linux系统日志(LinuxSystemLog)主要用途是系统审计、监测追踪和分析统计。UNIX/Linux操作系统使用日志管理服务“rsyslog”采集和分类存放日志，服务的主配置文件为“/etc/rsyslog.conf”第3章电子数据检验在“/etc/rsyslog.conf”配置文件中可以配置服务器需要记录的日志类型以及记录日志的日志文件路径，配置文件中的“#”是注释，表示不会执行

Linux操作系统日志分析第3章电子数据检验二、Linux系统日志分类和级别Linux系统中常用的日志主要有“authpriv”、“mail”等。日志类型日志说明authpam产生的日志authprivssh、ftp等登录信息的验证信息corn时间任务相关kern内核相关日志lpr打印服务相关日志mail邮件相关日志mark(syslog)-rsyslog服务内部的信息，时间标识news新闻组user用户程序产生的相关信息uucpunixtonuixcopy主机之间相关的通信local(1-7)自定义的日志设备1、日志的类型

Linux操作系统日志分析第3章电子数据检验二、Linux系统日志分类和级别2、日志的级别级别说明debug有调试信息的，日志通信最多info一般信息日志，最常用notice最具有重要性的普通条件的信息warning警告级别err错误级别，阻止某个功能或者模块不能正常工作的信息crit严重级别，阻止整个系统或者整个软件不能正常工作的信息alert需要立刻修改的信息emerg内核崩溃等重要信息none什么都不记录注：从下到上，级别从低到高，记录的信息越来越少

Linux操作系统日志分析第3章电子数据检验三、日志用途攻击者服务器入侵服务器的时间、IP和端口嫌疑人嫌疑人在线时间段、IP指向嫌疑人（受害人被骗时，嫌疑人正在操作服务器）受害者被骗受害者被骗时间受害人

Linux操作系统日志分析第3章电子数据检验四、Linux日志文件1、配置文件“/etc/rsyslog.conf”记录了日志文件的保存路径，默认为“/var/log”，系统产生的日志随着时间的增长，会自动重命名备份，防止日志文件过大，如“secure是“secure”日志份（重命名），一般时间是一周。2、日志文件大多为文本类型，可以直接查看，少部分是二进制文件，需要特定的日志分析工具才能打开查看，如“btmp”、“lastlog”、“wtmp”等。3、其它应用如nginx、apache等日志默认存储路径也在此。

Linux操作系统日志分析第3章电子数据检验五、Secure日志Linux操作系统中“secure”日志记录了ssh、ftp等登录信息的验证信息，包括成功和失败的，同时会记录连接的IP和端口。

Linux操作系统日志分析第3章电子数据检验五、Secure日志登录成功后记录的日志信息包括时间、服务名（如sshd，表示通过ssh服务进行登录），登录成功有Accepted字样，同时会记录IP和端口；退出连接时会出现Disconnected字样，一般情况Accepted和Disconnected会成对出现，据此可以推断管理员什么时间在操作该服务器。

Linux操作系统日志分析第3章电子数据检验四、Linux用户操作历史记录日志Linux用户每次登录后操作的命令都会被记录在“.bash_history”文件里，该文件是一个隐藏文件，一般存储在账户主文件夹下。“root”账户的主文件夹为“/root”，其它用户主文件夹一般在“/home”文件下有一个和账户同名的文件；查看Linux账户可以打开“/etc/shadow”，该文件可以查看系统类的所有账户，包括root账户、用户增加的账户以及系统默认账户。

Linux操作系统日志分析第3章电子数据检验四、Linux用户操作历史记录日志根据历史记录日志，可以还原用户的操作行为。如下图是一个操作历史记录日志，根据分析，可以得出以下内容：1、Web服务文件是在“/data/wwwroot/”路径下的“WebFile”文件夹中2、启动Web服务不是传统的“nginx”或“hpptpd”，而是命令“supervisorctl”3、根据上述命令，可初步分析该web网站是通过C#开发

Linux操作系统日志分析第3章电子数据检验知识点内容小结：1、Linux操作系统日志简介