Logging 日志记录
把发生的事记下来。 系统、网络、应用上每发生一个 事件,就写一条 日志记录。
是整个 检测和取证的原料——没有日志,出了事什么都查不到。
记些什么
- 谁登录了、何时、从哪
- 访问了什么文件、改了什么
- 网络连接、流量
- 错误、异常、权限变更
logging vs log analysis vs log management
| 概念 | 是什么 |
|---|---|
| Logging | 产生记录(写) |
| Log Analysis | 看记录找问题(读) |
| Log Management | 收集/存储/处置的全流程(管) |
关键提醒
- 没开日志 = 出事查无可查 —— 很多系统默认日志很少,要主动开
- 日志本身要保护 —— 攻击者进来第一件事常是删日志,所以日志要实时外送到独立系统(SIEM)
- 时间要同步(NTP),否则跨系统对不上时间线