日志分析Windows

windows中，日志文件包括：系统日志、安全性日志及应用程序日志，对于应急响应工程师来说这三类日志需要熟练掌握。

windows XP/windows server 2003，日志位置如下：

系统日志：

C:\Windows\System32\config\SysEvent.evt 

安全性日志：

C:\Windows\System32\config\SecEvent.evt 

应用程序日志：

C:\Windows\System32\config\AppEvnet.evt

windows vista/windows 7/windows8/windows10/Windows server2008之后，日志位置：

系统日志为

C:\Windows\System32\winevt\Logs\System.evtx 

安全性日志为

C:\Windows\System32\winevt\Logs\Security.evtx 

应用程序日志为

C:\Windows\System32\winevt\Logs\Application.evtx 

或者打开”运行“，输入 eventvwr.msc

系统日志

系统日志指windows系统中的各个组件在运行中产生的各种事件，这些事件一般可以分为：系统中各种驱动程序在运行中出现的重大问题、操作系统的多种组件在运行中出现重大问题及应用软件在运行中出现的重大问题等，这些重大问题主要包括重要数据的丢失、错误，以及系统产生的崩溃行为等

安全性日志

安全性日志与系统日志不同，安全性日志主要记录了各种与安全相关的事件。构成该日志的内容主要包括：各种登录与退出系统的成功或不成功的信息；对系统中各种重要资源进行的各种操作，如对系统文件进行创建、删除、更改等操作

应用程序日志

应用程序日志主要记录各种应用程序产生的各类事件，例如系统中的SQL server数据库程序在受到暴力破解攻击时，日志会有相关记录，该记录中包含对应事件相关的详细信息

其他日志

在应急响应中经常也会用到 PowerShell 日志

日志分析

日志分析就是在众多日志中找出自己需要的日志

（1）通过内置的日志筛选器进行分析：使用日志筛选器可以对记录时间、事件级别、任务类别、关键字等信息进行筛选

（2）使用 Powershell 对日志进行分析

在使用powershell进行日志分析时，需要管理员权限，常用的命令：

Get-EventLog：只获取传统事件日志Get-WinEvent：从传统事件日志和新windows 事件日志技术生成的事件日志中获取事件 ，还会获取windows 事件跟踪（ETW）生成的日志文件中的事件，需要windows vista/windows server2008及更高版本的windows系统，还需要 .NET Framework 3.5 及以上版本

例如获取安全性日志下事件ID为4624（登录成功）的所有日志信息：

get-eventlog security -instanceid 4624

• 例如：

get-winevent -filterhashtable @{logname='security';id='4624'}

linux系统中日志一般存放在目录 /var/log/ 下，具体功能如下：

/var/log/wtmp：记录登录进入、退出、数据交换、关机和重启,即last，是一个二进制文件，可以使用last查看/var/log/cron：记录与定时任务相关的日志信息/var/log/messages：记录系统启动后的信息和错误日志，cat /var/log/messages/var/log/apache2/access.log：记录Apache的访问日志/var/log/auth.log：记录系统授权信息，包括用户登录和使用的权限机制等/var/log/userlog: 记录所有等级用户信息的日志/var/log/xferlog(vsftpd.log):记录linux FTP的日志/var/log/lastlog: 记录登录的用户，可以使用命令lastlog查看，/var/log/secure : 记录大多数应用输入的账户和密码，以及登录成功与否/var/log/faillog: 记录登录系统不成功的账号信息ls -alt /var/spool/mail ： 查看邮件相关记录文件cat /var/spool/mail/root ：可发现对80端口的攻击行为（当web访问异常时，及时向当前系统配置的邮箱地址发送报警邮件）

对linux系统日志分析主要使用 grep sed sort awk 等命令

查看最后10行日志 :

tail -n 10 test.log

查看10之后的所有日志

tail -n +10 test.log

查询头10行的日志

head -n 10 test.log

查询除了最后10条的所有日志

head -n -10 test.log

1、IIS日志的位置

%SystemDrive%\inetpub\logs\LogsFiles %SystemRoot%\System32\LogFiles\W3SVC1 %SystemDrive%\inetpub\logs\LogFiles\W3SVC1 %SystemDrive%\Windows\System32\LogFiles\HTTPERR

2、Apache日志的位置

/var/log/httpd/access.log /var/log/apache/access.log /var/log/apache2/access.log /var/log/httpd-access.log

3、Nginx日志位置

默认在 /usr/local/nginx/logs 目录下，accessl.log 代表访问日志，error.log 代表错误日志，若没有在默认路径下，则可以到 nginx.conf 配置文件中查找

4、Tomcat日志的位置

默认在 TOMCAT_HOME/logs/目录下，有 catalina.out、catalina.YYYY-MM-DD.log 、 localhost.YYYY-MM-DD.log、 localhost_access_log.YYYY-MM-DD.txt、hostmanager.YYYY-MM-DD.log、manager.YYYY-MM-DD.log 等几类日志

5、Weblogic日志的位置

在默认情况下，WebLogic 有三种日志，分别是 access log 、 server log 和 domain log

access log 的位置是

$MW_HOME\user_projects\domains\<domain_name>\server\<server_name>\logs\access.log

server log 的位置是

$MW_HOME\user_projects\domains\<domain_name>\server\<server_name>\logs\<server_name>.log

domain log 的位置是

$MW_HOME\user_projects\domains\<domain_name>\server\<adminserver_name>\logs\<domain_name>.log

6、数据库日志

Oracle数据库查看方法如下：使用 select * from v$logfile 命令，可查询日志路径，在默认情况下，日志文件记录在 $ORACLE/rdbms/log 。 使用 select * from v$sql 命令，查询之前用过的SQL

MySQL 数据库查看方法如下：使用 show variables like '%log_%' 命令，可查看是否启用日志，如果日志已开启，则默认路径为 /var/log/mysql ，使用 show variables like '%general%' 命令，可查看日志位置

MsSQL 数据库查看方法如下：一般无法直接查看，需要登录到 SQL Server Management Studio ，在 “管理-SQL Server 日志” 中进行查看