3.3 日志来源分类
本节提供了一些生成日志数据的系统和应用程序实例。
3.3.1 安全相关主机日志
这一类别涵盖由操作系统组件、各种网络服务日志和其他运行于系统之上的应用程序生成的主机日志。虽然许多消息只是(或者主要是)为性能跟踪、审计或者故障排除而生成的,但是大部分在安全上都有作用。
1.?操作系统日志
操作系统记录各种消息。我们来研究一些操作系统生成的安全相关消息:
- 认证:用户已经登录、无法登录等。
示例(Linux syslog):
这个例子是Linux syslog中的一行,与远程用户用Secure Shell守护进程认证相关:
- 系统启动、关闭和重启。
示例(Linux syslog):
这个例子中的Linux syslog与系统关闭相关。
- 服务启动、关闭和状态变化。
示例(Solaris syslog):
这个例子是与sendmail守护进程启动相关的Linux syslog行。
- 服务崩溃。
示例(Linux syslog):
这个例子是与FTP服务器偶然关闭(可能因为崩溃或者kill命令)相关的Linux syslog行。
- 杂项状态消息。
示例(Linux syslog):
这个例子是与时间同步守护进程(NTPD)相关的Linux syslog行。
总体来说,操作系统消息被视为安全相关有两个主要原因:
1)它们可用于入侵检测,因为成功和失败的攻击通常在日志中留下独特的痕迹。大部分入侵检测系统(HIDS)和安全信息及事件管理系统(SIEM)收集这类消息,做出过去和将要出现的威胁的判断(在日志中发现攻击者侦察活动的痕迹时)。
2)它们对事故响应(见第16章)也很有用,因为尽管有各种安全防护措施,成功的攻击仍然可能发生。正如我们在许多章节中所提到的,日志在事故响应中是至关重要的,因为它们使调查者能够“组合”入侵拼图中互相脱节的各个部分。
2. 网络守护进程日志
网络守护进程通常记录如下类型的安全相关消息:
- 建立到服务的连接。
示例(Linux syslog):
来自Linux syslog的这条消息显示了远程用户“anton”成功地连接到POP3邮件守护进程。
- 失败的服务器连接。
示例(Linux syslog):
来自Linux syslog的这条消息说明telnet服务的一次失败连接(因为访问控制)。
- 连接建立,但是不允许访问。
示例(Linux syslog):
来自Linux syslog的这条消息说明对Secure Shell服务器的连接不成功。
- 各种故障消息。
示例(Linux syslog):
来自Linux syslog的这条消息说明sendmail守护进程无法继续与客户端通信(可能是一个垃圾程序)。
- 各种状态消息。
示例(Linux syslog):
来自Linux syslog的这条消息表示一次成功的电子邮件传输。
网络守护进程日志通常和一般的操作系统日志一样有用。实际上,它们常常被记录在同一个位置,例如,在Unix和Windows上,它们使用相同的日志记录机制。
网络守护进程提供了远程进入系统的最常见途径,许多攻击以此为目标。因此,建立健全的日志记录对于这种环境很关键。
3.应用程序日志
应用程序还记录各种有趣的消息。我们可以将应用程序记录的日志归纳为如下列表:
- 应用程序用户活动
- 特权用户活动
- 关键的例行活动
- 重新配置