3.3.2 安全相关的网络日志
这一类别涵盖了网络基础设施生成的网络日志。路由器和交换机生成各种有趣的日志消息,这与它们的操作以及通过的流量相关。
网络基础设施日志
网络基础设施包括路由器、交换机和其他组成网络、将桌面和服务器绑定在一起的设备。来自这类设备的日志在安全中起着关键的作用。
最常见的消息包括如下类别:
登录和注销
建立服务连接
出站和入站传输字节数
重新启动
配置更改
时间: 2024-08-25 08:37:52
《日志管理与分析权威指南》一3.3.2 安全相关的网络日志
《日志管理与分析权威指南》一3.3.2 安全相关的网络日志的相关文章
《日志管理与分析权威指南》一导读
前 言 欢迎阅读本书.本书的目标是向信息技术(IT)专业人士提供理解和处理日志数据的入门知识.各种形式的日志数据是由许多类型的系统生成的.如何处理和分析日志数据是长期存在的一个问题.本书介绍能够帮助你分析日志数据和寻找恶意活动的技术和工具. 过去,系统管理员审阅日志文件,寻找磁盘错误或者内核问题.现在的系统管理员往往还要兼任安全管理员.更好地理解如何处理安全日志数据的需求从未像今天那么重要.安全性分析人员是IT专家组中负责跟踪日志分析技术的人.许多经验丰富的人曾经在"压力测试"的模式下
《日志管理与分析权威指南》一2.1 概述
2.1 概述 在第1章我们已经讨论了日志,但是,我们真正讨论的东西是什么?我们正在讨论的并不是树木.数学,或航海日志等等--让我们从定义开始,该领域中的许多讨论是粗略和模糊的,对安全分析人员或网络工程师没有什么用处,因此探寻一个围绕日志记录数据的清晰定义就变得意义非凡了.定义 在日志记录.日志分析以及日志管理中使用的许多术语(包括我们刚刚使用过的)含义模糊,充满误导或者有多重意义.在某些情况下,术语是从其他学科中"借用"的(我们偶尔会用到这些词),有时,不同的人使用不同的术语.而在另一
《日志管理与分析权威指南》一1.2.4 日志生态系统
1.2.4 日志生态系统 之前我们已经在概略地讨论了日志数据和日志消息,现在我们来了解日志是怎么在整个日志记录生态系统中使用的.日志记录生态系统,有时也称为日志记录基础设施,是组合在一起实现了日志数据的生成.过滤.规范化.分析和长期存储各项功能的组件和零件.这个系统的最终目标是能够利用日志来解决问题.而需要解决的问题取决于你的环境.例如,如果你是一个处理信用卡交易的零售组织,就必须遵守各种各样的监管和依从性要求.本节中余下的内容将会在后续的章节中展开讲解.让我们从一些在开始规划日志系统架构的时候
《日志管理与分析权威指南》一1.2.2 日志数据是如何传输和收集的
1.2.2 日志数据是如何传输和收集的 日志数据的传输和收集在概念上非常简单.计算机或者其他设备都实现了日志记录子系统,能够在确定有必要的时候生成日志消息,具体的确定方式取决于设备.例如,你可以选择对设备进行配置,设备也可能本身进行了硬编码,生成一系列预设消息.另一方面,你必须有一个用来接收和收集日志消息的地方.这个地方一般被称为日志主机(loghost).日志主机是一个计算机系统,一般来说可能是Unix系统或者Windows服务器系统,它是集中收集日志消息的地方.使用集中日志收集器的优点如下:
《日志管理与分析权威指南》一1.5.5 无聊的审计,有趣的发现
1.5.5 无聊的审计,有趣的发现 审计是验证系统或者过程是否如预期般运行的过程.日志是审计过程的一部分,形成审计跟踪的一部分. 审计往往是为了政策或者监管依从性而进行的.例如,公司往往需要做财务审计,以确保他们的财务报表和账簿相符,且所有数字都合情合理.Sarbanes-Oxley(萨班斯-奥克斯利法案)和HIPAA(健康保险便利性与责任法案)等美国法规都要求某种交易日志,以及可以用来验证用户对金融和患者数据的访问的审计跟踪.另一个例子是Payment Card Industry Data S
《日志管理与分析权威指南》一1.7 安全信息和事件管理(SIEM)
1.7 安全信息和事件管理(SIEM) 日志管理的书籍如果不讨论SIEM,那就是不完整的.SIEM已经形成了一个行业,SIEM工具提供了一种实时分析安全事件的方法.它也提供了报告.可视化和长期存储等机制.我们在这本书里面不会花太多时间在SIEM上,但是第15章将会讨论一些开源的SIEM工具. 下面的两个案例研究会解释日志数据怎样帮助解决现实世界的问题. 后门(Backdoor)是允许用户在不为人知的情况下获得计算机系统访问权的软件或应用程序.它经常被用于恶意目的(Skoudis & Zeltse
《日志管理与分析权威指南》一1.1 概述
1.1 概述 本书是关于如何处理系统日志的.更确切地说,是关于如何从你的日志中获取到各种有用的信息.经常被低估的日志其实是计算机系统资源管理(打印机.磁盘系统.电源备份系统.操作系统等).用户和应用程序管理(登录注销.应用程序访问等)和安全的一种非常有用的信息来源.需要说明的是,信息经常可以不同的方式来进行分类.用户的登录和注销信息与用户管理和安全都有关系.下面用一些例子来展示日志信息是多么有用.各种磁盘存储产品在硬件出错时都会记录日志,经常关注这些信息可以把小问题在变成真正的噩梦之前解决掉.作
《日志管理与分析权威指南》一2.2 日志的概念
2.2 日志的概念 大多数操作系统都具备某种类型的日志记录功能,能够生成日志消息.然而,许多计算机用户(听起来令人惊讶,这其中包括系统管理员)并不知道日志的存在,更不要说去查看它们了.有三个主要原因驱使我们研究日志的来源范围.首先,安全日志记录(Security logging)着眼于攻击.恶意软件感染.数据窃取及其他安全问题的检测和响应.聚焦于安全的日志记录的典型例子就是用户身份认证(登录)的记录,以及意在分析某人是否具有访问某个资源的合适授权的访问决策.其次,运营日志记录用于为系统操作人员提
《日志管理与分析权威指南》一2.2.1 日志格式和类型
2.2.1 日志格式和类型 在开始讨论格式和其他信息之前,我们应该指出,为了满足前文所述的目标,任何日志记录机制都可以从逻辑上分为四个部分: 日志传输 日志语法与格式 日志事件分类学 日志记录的设置.配置与建议 这些主要特性将在整个报告以及本项目下生成的其他文档中使用.让我们来详细地研究它们的关键概念.日志传输就是将日志消息从一个地方转移到其他地方的方式.事件传输协议有许多种,例如syslog.WS-Mangement和许多专有的产品特定的日志传输协议,还有一些日志记录机制没有自己的传输方法(例