Windows日志分析

Windows系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。

Windows主要有以下三类日志记录系统事件：应用程序日志、系统日志和安全日志。

系统日志的存放位置：%SystemRoot%\System32\Winevt\Logs\System.evtx
安全性日志存放位置：%SystemRoot%\System32\Winevt\Logs\Security.evtx
应用程序日志存放位置：%SystemRoot%\System32\Winevt\Logs\Application.evtx

 如何查看：右键我的电脑-管理-系统工具-事件查看器，或者eventvwr查看事件查看器

系统：
1074，通过这个事件ID查看计算机的开机、关机、重启的时间以及原因和注释。
6005，表示计算机日志服务已启动，如果出现了事件ID为6005，则表示这天正常启动了系统。
104，这个时间ID记录所有审计日志清除事件，当有日志被清除时，出现此事件ID。

安全：
4624，这个事件ID表示成功登陆的用户，用来筛选该系统的用户登陆成功情况。
4625，这个事件ID表示登陆失败的用户。
4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户帐号发生创建，删除，改变密码时的事件记录。
4727,4737,4739,4762,事件ID表示当用户组发生添加、删除时或组内添加成员时生成该事件。

 打开Windows系统的事件查看器，右键单击系统或安全日志，选择筛选当前日志，在筛选器中输入事件ID即可。

Linux日志分析 

系统定时任务相关日志/var/log/cron

/var/log/dmesg 记录了系统在开机时内核自检的信息

用来显示开机信息, kernel会将开机信息存储在ring buffer中。开机时来不及查看信息，可利用dmesg来查看。开机信息亦保存在/var/log/dmesg 

 

/var/log/message 记录系统重要信息的日志

 一般内核及大多数系统消息都被记录到公共日志文件”/var/log/messages”中，而其他一些程序消息被记录到不同的文件中，日志消息还能够记录到特定的存储设备中，或者直接向用户发送。具体根据rsyslog配置而定

/var/log/btmp记录错误登录日志，这个文件是二进制文件，不能直接vi查看，而要使用lastb命令查看

/var/log/secure：记录登录系统存取数据的文件;例如:pop3，ssh，telnet，ftp等都会记录在此. 

 

/var/log/lastlog 记录系统中所有用户最后一次登录时间的日志

/var/log/wtmp 永久记录所有用户的登录、注销信息，同时记录系统的启动、重启、关机事件

/var/log/utmp 记录当前已经登录的用户信息

 

/var/log/secure 记录验证和授权方面的信息，只要涉及账号和密码的程序都会记录

/var/log/secure 这个文件是记录服务器登陆行为的。那个文件如果很大，说明有人在破解你的root密码（一般是SSH暴力破解），可以通过这个日志查到对方的IP，每次登陆，无论密码对错都会被详细记录下来，所以文件会很大