网络攻防学习笔记 Day94

在 Windows 操作系统中，最与安全相关的日志可通过事件查看器访问。但也可以从 Windows\System32\winevt\Logs 获取单个文件。

操作系统中的日志分析不一定局限于操作系统提供的日志信息，尤其是在 Windows 中。还可以使用其他信息源，包括预读文件（Windows 预读）。这些文件中包含有关流程执行的相关信息。在尝试了解是否执行了恶意进程以及第一次执行时执行了哪些操作时，它们可能很有用。

另一个重要的文件位置是 Windows 存储用户模式崩溃转储文件的位置，即 C:\Users<username>\AppData\Local\CrashDumps。这些崩溃转储文件是可用于识别系统中潜在恶意软件的重要工件。在转储文件中暴露的一种常见攻击类型是代码注入攻击。

在 Linux 中，有许多日志可用来查找与安全相关的信息。其中一个主要文件是 auth.log（位于/var/log 下），它包含所有与身份验证相关的事件。

在查看这些日志时，请确保注意调用 root 用户的事件，这主要是因为该用户不应该以如此高的频率使用。还要注意将权限提升到 root 安装工具的模式，如果用户一开始就没这样做，那么这也可以被认为是可疑的。

查看防火墙日志时，必须重点回答以下问题：

谁发起的通信（源 IP）？

该通信的目的地（目的地 IP）在哪里？

哪种类型的应用程序正在尝试到达目的地（传输协议和端口）？

防火墙是允许还是拒绝该连接？

IIS Web 服务器日志文件位于\Windows\System32\LogFiles\W3SVC1，它是可以使用记事本打开的.log 文件。还可以使用 Excel 或 Microsoft Log Parser 打开此文件并执行基本查询。

Microsoft Azure 还具有平台日志记录功能，使你可以可视化 Azure 中发生的订阅级别事件。这些事件包括从 Azure 资源管理器（Azure Resource Manager，ARM）操作数据到服务运行状况事件更新的一系列数据。默认情况下，这些日志也会存储 90 天，并且默认启用此日志。