Linux日志分析 - 底稿stash

docs/网络安全/端点安全/Linux/日志分析.md

@@ -0,0 +1,85 @@
+# Linux 日志
+
+在Linux系统中，日志是系统活动的记录。
+
+---
+
+## 概述
+
+Linux日志存储在`/var/log`目录下，涵盖了从用户登录到服务错误等系统运行过程中发生的各种事件的信息。
+
+它是系统安全管理的重要手段，可以用于监控系统运行状态、发现安全漏洞、追踪攻击行为等。
+
+---
+
+### 关键日志
+
+- `/var/log/auth.log`记录了所有的认证日志
+
+- `/var/log/syslog`包含了更多类别的信息
+- 系统日志：记录系统的启动、关闭、用户登录、进程启动等事件。
+- 应用程序日志：记录应用程序的运行情况，如错误、异常等。
+- 安全日志：记录系统的安全事件，如用户登录失败、文件被修改、网络连接异常等。
+- 网络日志：记录网络通信事件，如TCP连接、UDP连接等。
+
+---
+
+### 日志格式
+
+- 文本格式：是最常见的日志格式，由人可以直接阅读和理解。
+- 二进制格式：由计算机直接处理，人无法直接阅读和理解。
+
+---
+
+### 日志级别
+
+日志级别从调试到严重错误不等，了解这些级别有助于我们筛选和理解日志内容
+
+---
+
+## 基础日志分析技巧
+
+### 使用命令行工具辅助日志分析
+
+使用命令行工具，如`grep`，可以帮助我们快速搜索关键词。例如，`grep 'error' /var/log/syslog`能够找出所有包含'error'的日志行。
+
+---
+
+### 日志分析工具
+
+- Logwatch(免费,开源)
+- Graylog(基础版开源)
+- ELK Stack (Elasticsearch, Logstash, and Kibana)(基础版开源)
+- Splunk(免费版限制数据量)
+- **rsyslog(免费,开源)**
+- **Syslog-ng**(社区版免费)
+- **Grafana Loki(免费,开源)**
+
+---
+
+### 简单案例分析
+
+假设我们想找出过去一小时内所有失败的登录尝试。我们可以使用`grep`和`awk`命令组合来实现这一点
+
+----
+
+## 安全相关日志应用
+
+### 识别安全事件
+
+Linux 日志数量比较庞大, 漫无目的的翻找日志是比较低效的做法, 可以带有明确目的来分析日志
+
+例如，频繁的登录失败可能表明有人试图破解密码。
+
+---
+
+### 日志与网络安全工具
+
+对于入侵检测系统（IDS）和入侵防御系统（IPS）而言, 其主要依赖网络流量来检测与响应安全事件
+
+不过终端侧的日志也可以作为关联分析的依据, 结合网络侧流量以及终端侧日志可以更全面地分析与响应安全事件
+
+---
+
+
+