网络安全课件：第9章 安全审计与评估

第九章安全审计与评估

安全审计概述审计就是记录用户使用计算机网络系统进行所有活动的过程。记录的信息通常是存放在日志文件中的。审计是事故处理重要依据，为网络犯罪行为和泄密行为提供证据。日志介绍不易读懂数据量大不易获取关联困难Windows系统日志管理日志位置%systemroot%\system32\config默认安全日志：SecEvent.EVT系统日志：SysEvent.EVT应用程序：AppEvent.EVT安装特殊应用程序也会产生日志：如DNS、AD等事件查看器2-1事件查看器用来查看计算机中产生的日志打开“事件查看器”的方法：%SystemRoot%\system32\eventvwr.msc/s3种类别的日志应用程序日志由应用程序或系统程序记录的事件安全日志记录诸如有效和无效的登录尝试等事件，以及记录与资源使用相关的事件系统日志Windows系统组件记录的事件事件查看器2-2错误：重要的问题，如数据丢失或功能丧失警告：虽然不一定很重要，但是将来有可能导致问题的事件信息：描述了应用程序、驱动程序或服务的成功操作的事件安全性日志审核成功：审核成功的行为，如登录或者访问资源成功审核失败：审核失败的行为，如登录或者访问资源失败事件查看器的使用清除所有事件保存日志文件查看另一台计算机的日志筛选日志:例如右击【系统】|【属性】|【筛选器】日志分析及管理日志的功能用于记录系统、程序运行中发生的各种事件通过阅读日志，有助于诊断和解决系统故障日志文件的分类内核及系统日志由系统服务syslog统一进行管理，日志格式基本相似用户日志记录系统用户登录及退出系统的相关信息程序日志由各种应用程序独立管理的日志文件，记录格式不统一日志分析及管理日志保存位置默认位于：/var/log

目录下主要日志文件介绍内核及公共消息日志：/var/log/messages计划任务日志：/var/log/cron系统引导日志：/var/log/dmesg邮件系统日志：/var/log/maillog用户登录日志：/var/log/lastlog、/var/log/secure、/var/log/wtmp、/var/run/utmp……内核及系统日志由系统服务syslogd统一管理软件包：sysklogd-1.4.1-39.2主要程序：/sbin/klogd、/sbin/syslogd配置文件：/etc/syslog.conf[root@localhost~]#grep-v"^#"/etc/syslog.conf|grep-v^$*.info;mail.none;authpriv.none;cron.none /var/log/messagesauthpriv.* /var/log/securemail.* -/var/log/maillogcron.* /var/log/cron……设备类别.日志级别消息发送位置内核及系统日志日志消息的级别0EMERG（紧急）：会导致主机系统不可用的情况1ALERT（警告）：必须马上采取措施解决的问题2CRIT（严重）：比较严重的情况3ERR（错误）：运行出现错误4WARNING（提醒）：可能会影响系统功能的事件5NOTICE（注意）：不会影响系统但值得注意6INFO（信息）：一般信息7DEBUG（调试）：程序或系统调试信息等数字越小，表示优先级越高、问题越严重[root@localhost~]#tail-5/var/log/messagesSep1411:22:44localhostkernel:sdb:cachedataunavailableSep1411:22:44localhostkernel:sdb:assumingdrivecache:writethroughSep1411:22:44localhostkernel:sdb:sdb1Sep1411:23:37localhostkernel:VFS:Can'tfindext3filesystemondevsdb1.Sep1416:54:48localhostNetworkManager:<information>starting...内核及系统日志日志记录的一般格式时间标签主机名子系统名消息字段用户日志分析保存了用户登录、退出系统等相关信息/var/log/lastlog：最近的用户登录事件/var/log/wtmp：用户登录、注销及系统开、关机事件/var/run/utmp：当前登录的每个用户的详细信息/var/log/secure：与用户验证相关的安全性事件分析工具who、w、user、last、ac程序日志分析由相应的应用程序独立进行管理Web服务：/var/log/httpd/access_log、error_log代理服务：/var/log/squid/access.log、cache.log、squid.out、store.logFTP服务：/var/log/xferlog……

分析工具文本查看、grep过滤检索、Webmin管理套件中查看awk、sed等文本过滤、格式化编辑工具Webalizer、Awstats等专用日志分析工具日志管理策略及时作好备份和归档延长日志保存期限控制日志访问权限日志中可能会包含各类敏感信息，如账户、口令等集中管理日志便于日志信息的统一收集、整理和分析杜绝日志信息的意外丢失、恶意篡改或删除日志管理策略应用示例：调整syslogd服务设置，建立集中管理的日志服务器将客户机B中crond服务产生的日志消息，自动发送到服务器A的/var/log/cron文件中[root@localhost~]#vi/etc/s