- 论坛徽章:
- 0
|
回复 1# cgweb
1.请举例说明CLI方式下如何分析系统日志?
常用到的几个命令有find、findstr、egrep、grep等
Shell、python结合网上别人公布的,进行改到自己适合的.
但是很有必要自己手动去分析日志. 这里先提一点,很有必要一个专用的日志服务器!
有没有考虑过日志被攻击者给清理了。该如何恢复?我指的是不是删掉的意思,而是攻击者把自身IP清理了!
2.谈谈你对开源日志分析工具和商业日志分析工具使用的感受或心得?
Awast、 logstash
比较好的WEB审计工具WEB日志安全审计工具 V1.0
:支持IIS的W3C、Aphace、Tomcat、Nginx四种日志类型的解析。可以从中发现SQL注入、XSS、IIS写权限漏洞利用攻击
( 亲, 我不是来给别人打广告的!!!)
商用的要钱,但开源的不合自己的意愿. 要是一般小公司老板理你都傻的. 除非老板本身就是一技术牛懂得这些
其实有很多取证的工具可以用。科莱Colasoft Capsa 7也是windows下的,有网警叔叔在用哦!我现在还没有想到.后续再补
3.谈谈你是如何收集Unix/Linux以及Windows平台上各种日志?
看了上面各位哥哥写的分析各种日志. 但我觉得,收集日志以及收那些有用的。怎么收集
以下内容copy的 ,应该是一名网警叔叔。因为我都记录下来了. 或许真的用上的时候有用! 内容很多,我只截取一部分好了:
检查系统层后门
检查history历史操作记录
检查系统服务
检查启动项
检查系统执行计划
检查系统日志特别是tomcat日志
1.常用账号后门
检查如下账号的口令是否被改变用作后门:
bin,daemon,adm,lp,sync,shutdown,halt,mail,news,uucp,games
gopher,ftp,nobody,xfs,named,gdm,sys,nuucp,listen
特别是对上面的这些账号检查 /etc/passwd,
user_name :passwd : uid : gid : note : home_directory : shell
查看 shell 字段是否被改为诸如/bin/sh 之类的.
Linux 系统:
in.ftpd、in.telnetd、in.rshd、in.rlogind、in.rexecd、in.talkd、in.ntalkd、
in.dtalkd、ipop2d、ipop3d、imapd、uucico、in.tftpd、bootpd、in.fingerd、
in.cfingerd、in.identd、in.comsat
4.介绍你目前的日志存储方案?是否考虑架设集中日志管理平台,又遇到了何种问题?
日志存储本机和同步独立一台服务器中, 当出现问题可以对照. 就算其中有人删掉了自身的信息。也可以在同步的服务器中查到。 该怎么查呢? 麻麻问我为什么要跪着打字.
5.工作中多久查看日志系统,并对其中严重日志进行分析,是否进行关联分析?
人懒,有问题才查 zabbix报警短信提醒
6.由网络资产(服务器、网络设备)产生的各种告警日志,每个设备的流量信息、以及设备的漏洞信息,你认为他们之间存在什么样的关联,打算如何对待这些信息(处理的方式)?
针对不同设备定义不同的报警值
7.你通过日志分析来排除网络或系统故障码?当你遇到网络攻击时,会去主动分析日志吗?请用详细实例说明。
这是肯定的,DDOS攻击CDN分流有用吗? 我存在这样一个疑惑。 如果攻击流量大于CDN平台呢?CDN 是否会把你这个站点给抛弃了? 我对这个不了解。所以就瞎猜猜.开防,IP访问太频繁过滤
你是否尝试将Apache、Ftp、Samba、Snort、OSSEC、Iptables,DNS等应用服务器日志存储到MySQL,再通过Web界面图形化展示?你是通过那些方法实现的,难度在哪儿?
这个我没玩过.
从《UNIX/Linux网络日志分析与流量监控》 第51页开始, logstalgia
网上看文章后觉得叼爆了。 然后发现这本书有讲
8.目前你所管理的网络中流量监控系统起到那些作用,又由那些不足?
Zabbix预警
9.希望日志存储多长时间?是否有必要销毁?
应要求保存3个月
10.是否考虑在企业中建设SIEM平台,以整合原先各种零散的监控和日志分析报警系统?
没用过,但可以考虑.
12.说说你眼中的OSSIM平台,能为运维人员解决那些事情,还有那些功能是它所无法实现的?你在学习、使用OSSIM中又遇到了那些困难?如果有OSSIM平台部署和应用培训是否会参加?
在chinaunix技术讲堂里面看了下视频。也从中了解了OSSIM 感觉是强大,真正又起来又如何就难说了! 有培训当然参加.
|
|
免费注册
楼主: cgweb
发表于 2015-02-07 15:57
