- 综合排序
- 最热优先
- 最新优先
- 来自专栏FreeBuf
Windows系统安全事件日志取证工具:LogonTracer
7、再次访问LogonTracer界面 http://[本地IP地址]:8080 点击左侧的“UploadEvent Log”上传保存在本机的evtx格式或者XML格式的Windows安全日志文件,点击 这样就已经成功运行并使用LogonTracer对日志文件进行分析了。 ? 三、LogonTracer功能介绍 1、在LogonTracer界面左侧,就是对日志文件进行分析的功能选项。 ? 3、日志筛选过滤器 在界面顶部就是日志筛选过滤器,可以根据用户名、主机名和IP地址等对日志进行筛选。 ? 也可以过滤显示时间段及事件ID,事件出现的次数。 ? 问题2:在使用docker安装运行后,访问LogonTracer界面时上传的日志文件成功后,却无法对日志加载分析。 ? 原因二是上传的EVTX日志文件的问题,如可能当前的日志文件没有记录到任何除了IP为127.0.0.1的其他IP地址。(下图为Log Parser Lizard的分析截图) ?
3.9K20发布于 2019-12-04 - 来自专栏谢公子学安全
Linux系统安全 | Linux日志分析和管理
目录 日志的作用、分类、管理、轮转和级别 rsyslog服务 Journal守护进程 /var/log下相关的日志文件 日志服务器的建立 日志的作用、分类、管理、轮转和级别 日志的作用: 用于记录系统 程序日志:由各种应用程序独立管理的日志文件,格式不统一 日志管理策略 日志也并不是完全可靠的,高级的黑客在入侵系统后,会删除相应的日志记录,因此需要做好日志的管理工作: 日志的备份和归档 延长日志的保存期限 所以,需要对之前的日志文件做一些处理。日志轮转和切割指的是实现对当前日志归档,开始新的日志,删除早期的日志。Linux中,日志轮转和切割这个服务是由 logrotate 提供的。 ERR (错误) 运行出现错误 4 WARNING (提醒) 可能会影响系统功能的事件 5 NOTICE (注意) 不会影响系统但值得注意 6 INFO (注意) 一般信息 7 -k1 -n -r | head -5 查看登录失败的那一行,然后打印出第11列(从后数), 然后排序,然后去除重复,然后按第一列排序 ,然后查看前五个 Journal守护进程 在Rhel7中
9.9K10编辑于 2022-01-19 - 来自专栏WalkingCloud
CentOS7系统安全加固小结
CentOS7系统安全加固小结 1.设置口令策略+登录限制 加强口令的复杂度等,降低被猜解的可能性。 PASS_MAX_DAYS 30 #新建用户的密码最长使用天数 PASS_MIN_DAYS 0 #新建用户的密码最短使用天数 PASS_MIN_LEN 10 #密码最小长度 PASS_WARN_AGE 7 2)使用chage命令修改用户设置 chage -m 0 -M 30 -E 2020-06-30 -W 7 root 表示将root用户的密码最长使用天数设为30,最短使用天数设为0,密码2020年 service sshd restart 3.记录所有用户的登录和操作日志 通过脚本代码实现记录所有用户的登录操作日志,防止出现安全事件后无据可查 vi /etc/profile修改配置文件,在配置文件中输入以下内容 运行source /etc/profile 加载配置生效 注意: /var/log/history 是记录日志的存放位置,可以自定义。
4.7K10发布于 2020-06-10 - 来自专栏全栈程序员必看
centos 日志审计_CentOS7 – 审计日志
/var/log/audit/audit.log : 默认日志路径 1、监控文件或者目录的更改 auditctl -w /etc/passwd -p rwxa -w path : 指定要监控的路径,上面的命令指定了监控的文件路径 2、查找日志ausearch -a number #只显示事件ID为指定数字的日志信息,如只显示926事件:ausearch -a 926 -c commond #只显示和指定命令有关的事件,如只显示rm 命令产生的事件:auserach -c rm -i #显示出的信息更清晰,如事件时间、相关用户名都会直接显示出来,而不再是数字形式 -k #显示出和之前auditctl -k所定义的关键词相匹配的事件信息 3、日志字段说明
4K20编辑于 2022-08-31 - 来自专栏WalkingCloud
【CentOS7操作系统安全加固系列】第(3)篇
*] /etc/shadow| egrep -v "^\s*#|root" | awk -F: '{print $1":"$7}' | egrep -v ".*:(30|[1-2][0-9]|[1-9] *] /etc/shadow| egrep -v "^\s*#|root" | awk -F: '{print $1":"$7}' | egrep -v ".*:(30|[1-2][0-9]|[1-9] 为了增强系统安全性,有必要对 su 命令的使用权进行控制,只允许 root 和 wheel 群组的账户使用 su 命令,限制其他账户使用。
2.7K31发布于 2020-11-10 - 来自专栏WalkingCloud
【CentOS7操作系统安全加固】第(2)篇
messages文件是否存在a属性 审计描述:检查/var/log/messages文件是否存在a属性:lsattr /var/log/messages | cut -b 6 修改建议:使用命令更改该日志文件属性
3.5K30发布于 2020-11-10 - 来自专栏技术杂记
日志服务器(7)
* uucp,news.crit /var/log/spooler local7. * uucp,news.crit /var/log/spooler local7. @h202 ~]# diff /tmp/before /tmp/after 11a12 > *.* @192.168.100.105 [root@h202 ~]# 增加了一条,将本地的日志记录到远程的服务器 system logger: [ OK ] [root@h202 ~]# ---- 审计本地所有操作 将客户端执行的所有命令写入系统日志
1.3K20发布于 2021-10-20 - 来自专栏LuckySec网络安全
Linux 系统安全
login.defs 修改配置文件 PASS_MAX_DAYS 60 # 新建用户的密码最长使用天数 PASS_MIN_DAYS 0 # 新建用户的密码最短使用天数 PASS_WARN_AGE 7 30天,最短使用天数为0天,账号2020年1月1号过期,过期前7天内警告用户 5. grep console` 查看是否禁止 root 远程登录 **加固方法:** 编辑文件 `vi /etc/securetty`,配置:`console = /dev/tty01` #### 7. #### 7. SSH 登录日志会存储于 secure 日志中,若日志中出现连续大量的登录错误信息,则可能意味着远程主机在尝试破解 SSH 登录口令 #### 5. lastlog 日志 - lastlog 日志位置在
2.5K50编辑于 2022-11-02 - 来自专栏WalkingCloud
【CentOS7操作系统安全加固系列】第(1)篇
修改前 修改后 验证测试 centos用户ssh登录多次输错密码 faillock命令查看锁定情况 faillock --user username --reset解锁操作 2、口令生存期 出于系统安全性考虑 login.defs 的选项:应设置 PASS_MAX_DAYS 的值大于等于 10 且小于等于 90,PASS_MIN_DAYS 的值为 10, PASS_WARN_AGE(口令过期提前时间)的值为 7, 同时还要检查文件/etc/shadow 中有口令且可登录用户(root 用户除外)的口令保持有效的最大天数为大于等于 10 且小于等于 90,两次修改口令之间所需的最小天数为 10,口令失效告警时间为 7。 修改建议:设置配置文件/etc/login.defs 的选项:PASS_MAX_DAYS 90(10~90), PASS_MIN_DAYS 10, PASS_WARN_AGE 7,同时对已有用户还需要修改 = "/bin/false" && $7 !
5.2K30发布于 2020-11-10 - 来自专栏WalkingCloud
【CentOS7操作系统安全加固系列】第(4)篇
规则描述:MaxAuthTries参数指定每个连接允许的最大验证尝试次数。当登录失败次数达到设置的一半时,错误消息将被写入syslog文件详细记录登录失败。
4.4K51发布于 2020-11-11 - 来自专栏Sign
精灵之息 开发日志(7)
一部100分钟的电影,前面90分钟可能都是铺垫,而最后10分钟的反转才将整个电影升华给观众脑海里留下不可磨灭的印象。
44830发布于 2021-08-17 - 来自专栏LuckySec网络安全
Windows 系统安全
本文将以 Windows 系统安全方面展开分享一些 Windows 系统安全防护措施。 0x002 Windows 安全基础 1. (Dump system passwords) pwdump7.exe -s <samfile> <systemfile> (Dump passwords from files) pwdump7 -d 是把一个文件复制到另一个位置,D:>PwDump7.exe -d c:pagefile.sys pagefile.dmp pwdump7 地址:https://www.openwall.com/passwords 日志审核 日志位置 Windows 日志文件默认位置:%systemroot%\system32\config 安全日志文件:%systemroot%\system32\config\SecEvent.EVT 分析日志入侵情况 日志审核首要条件: 日志的记录能力 日志的保持能力 系统日志: 记录设备驱动状态,系统进程、服务状态,以及补丁安装情况 可能会获得被攻击的时间以及方法 某时刻系统重启 某时刻系统服务出错并重启
3.3K70编辑于 2022-11-02 - 来自专栏对线JAVA面试
MySQL中的7种日志
MySQL中一共有 7 种日志,多数人只知道其中的 3 种。 最近我在面试一个 DBA 时,得知一共有 7 种日志文件,今天我们一起来看看这些日志文件都有哪些作用,以帮助大家理解 MySQL 中的事物以及事物背后的原理。! MySQL中有七种日志文件,分别是: 重做日志(redo log) 回滚日志(undo log) 二进制日志(binlog) 错误日志(errorlog) 慢查询日志(slow query log) 一般查询日志 (general log) 中继日志(relay log) 其中重做日志和回滚日志与事务操作息息相关,二进制日志也与事务操作有一定的关系,这三种日志,对理解 MySQL 中的事务操作有着重要的意义。 每个事务提交时会将重做日志刷新到重做日志文件。 当重做日志缓存可用空间少于一半时,重做日志缓存被刷新到重做日志文件。
66430编辑于 2022-10-27 - 来自专栏阿dai_linux
linux-centos7 基于等保3的系统安全体系
0 # 两次密码更改时间差最小天数 PASS_MIN_LEN 14 # 密码最小长度(密码强度在 /etc/pam.d/password-auth 配置) PASS_WARN_AGE 7 日志管理 只记录指定日志 /etc/rsyslog.conf : # 默认 *.* @@remote-host:514 等保要求: 可以将"*.*"替换为你实际需要的日志信息。 .* 等等; 或者关闭远程记录日志功能(直接注销即可)。
2.8K64发布于 2019-04-03 - 来自专栏WalkingCloud
【分享】非常全面的CentOS7系统安全检测和加固脚本
CentOS7系统检测和加固脚本 ? 服务已开启 =============================dividing line================================ 查看syslog日志是否开启外发: >> >经分析,客户端syslog日志未开启外发---------[无需调整] =============================dividing line====================== : >>>/var/log/secure日志文件存在 >>>/var/log/messages日志文件存在 >>>/var/log/cron日志文件存在 >>>/var/log/boot.log日志文件存在 >>>/var/log/dmesg日志文件存在 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>剩余信息保护<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< 分区情况
8.2K63发布于 2020-12-15 - 来自专栏DevOps持续集成
Centos7 安装ELK日志分析
1.安装前准备 借鉴:https://www.cnblogs.com/straycats/p/8053937.html 操作系统:Centos7 虚拟机 8G内存 jdk8+ 软件包下载:采用rpm rpm -ivh elasticsearch-6.4.2.rpm rpm -ql elasticsearch # default /usr/share/elasticsearch #默认日志目录 /var /log/elasticsearch /etc/elasticsearch/elasticsearch.yml 配置文件 path.data #数据目录 path.logs #日志目录 network.host
54250发布于 2019-10-18 技术日志挑战——第7天:0730
精度:大约7位十进制数字。范围:大约 1.2E-38 到 3.4E+38。用途:适用于空间和精度要求不高的场景,例如图形处理。double大小:通常占用8个字节(64位)。 解释浮点数值:输出表明float类型只能精确到约7位小数,而double类型可以精确到约15-16位小数。精度和范围:使用std::numeric_limits类,可以获取浮点数类型的精度和范围信息。
49310编辑于 2024-07-30- 来自专栏运维知识
Linux ContOS7 日志管理(rsyslog)
目录 01. rsyslog 记录日志程序 02.日志文件 03.日志等级 Linux 日志文件是记录 Linux 系统运行信息的文件。 Linux 日志文件通常存储在 /var/log/ 目录中。该目录包含许多不同的日志文件,每个文件记录不同类型的信息。 01. rsyslog 记录日志程序 日志是哪里来的?? 日志服务是rsyslog程序提供的 是 Linux 系统中一个用于系统日志管理的工具。 .日志文件 这是/var/log下的不同日志文件 对应的 /var/log/messages *** 包含系统的一般日志消息 如:用户登录 进程启动 服务启动 /var/log/ 系统启动时的日志文件 /var/log/maillog 电子邮箱文件日志 举两个重要的例子 /var/log/messages 存放的是系统的日志信息 *
53310编辑于 2024-06-03 - 来自专栏sktj
linux 系统安全 步骤
/etc/init.d/nagios restart 超级用户 user02 ALL=(ALL) NOPASSWD: ALL 5、删减登陆信息 6、禁用 alt+control+delete 7、 image.png 10 文件系统安全 chattr +i xxx ? image.png ? image.png 11 文件权限检查和修改 ? image.png ?
1.7K20发布于 2019-11-27 - 来自专栏月月的云安全课堂
系统安全加固方法
服务器是信息系统中敏感信息的直接载体,也是各类应用运行的平台,因此对服务器的保护是保证整个信息系统安全的基础,而对服务器操作系统安全保障又是保证服务器安全的核心所在。 面临的威胁及攻击手段分析 系统安全漏洞问题 操作系统存在较多安全漏洞,每一年报告给CERT/CC的漏洞数量也在成倍增长,如仅在2009年一年,微软公司就发布了72个补丁修复了近190个安全漏洞。 面对操作系统安全漏洞,用户所能做的往往是以“打补丁”的方式为操作系统不断的升级更新。这种方式最大的缺陷是系统补丁的滞后性:(1)从补丁测试到分发,需要较长周期。 在此期间,操作系统安全仍然无法得到保障;(2)补丁永远是在漏洞之后,且补丁永远“打不完”;(3)随着发现漏洞的工具的自动化趋势,留给服务器管理员打补丁的时间越来越短。
1.6K50编辑于 2022-07-22
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号