《操作系统安全加固》 课件 模块4 日志管理

日志管理日志查看课前准备观看视频，学习Windows和Linux日志查看方法;Windows和Linux日志查看方式情境导入公司依据网络等级保护三级对于日志管理的要求：“应详细记录运维操作日志，包括日常巡检工作、运行维护记录、参数的设置和修改等内容”。为了记录和查看企业用户操作系统的日志，除了行政管理要求外，管理员还需要通过技术手段进行系统操作日志的记录和查看，从而及时发现可能存在的异常情况，做好系统的安全防护工作。情境导入-教师基于课前自测情况开展评价活动教师基于课前自测情况开展活动教师展示学生预习自测题情况教师就测试结果完成课前评价1.使用事件查看器查看Windows系统日志、安全日志和应用程序日志；2.使用相关的文件查看命令，查看Linux系统日志、登录日志。根据安全管理要求，提出任务：教学活动一：使用事件查看器查看Windows日志为此，管理员需要完成以下运维工作：教学活动一：使用事件查看器查看Windows日志如何让Windows系统记录系统和安全日志？教师点评，组织学生互评教学活动一：使用事件查看器查看Windows日志步骤01任务步骤启动审核策略；步骤02查看用户登录事件；步骤03查看日志服务事件。教学活动一：使用事件查看器查看Windows日志任务初探下发任务单（课中资料）下发操作视频学生开展活动一实训教师评价学生小组完成任务情况教学活动一：使用事件查看器查看Windows日志教师点评活动一实训环节（参与度、完成情况）提出教学KR1目标10分钟内完成Windows中使用eventvwr.msc工具查看日志的任务01学生再次练习完成KR1指标02教师点评KR1活动达标率教学活动二：使用命令查看Linux系统日志根据等级保护的日志管理要求，管理员需要定期对Linux系统登录日志进行查看，从而及时发现系统可能存在的安全风险，进行相关预防和安全加固工作。提出活动内容Linux系统日志服务的设置文件的核心内容有哪些？教学活动二：使用命令查看Linux系统日志小结1讨论小结tail/var/log/secure查看认证事件；小结2last命令查看用户登录、注销等事件；小结3sudocat/var/log/dmesg命令查看系统启动的日志信息。教师点评，组织学生自评、互评教学活动二：使用命令查看Linux系统日志步骤01任务步骤使用tail命令查看用户认证相关的安全事件信息；步骤02使用last命令查看用户登录、注销等事件；步骤03使用cat命令查看系统启动的日志信息。组织学生观看操作录屏，分小组讨论任务步骤教学活动二：使用命令查看Linux系统日志步骤01任务步骤查看日志设置文件；步骤02查看用户认证事件；教师点评，组织学生自评、互评查看用户登录、注销事件；查看系统引导信息。步骤03步骤04教学活动二：使用命令查看Linux系统日志任务初探下发任务单（课中资料）下发操作视频，根据视频完成任务学生开展活动二实训教师评价学生小组完成任务情况教学活动二：使用命令查看Linux系统日志教师点评活动二实训环节（参与度、完成情况）提出教学KR2目标15分钟内按要求使用命令完成系统用户认证、用户登录、注销、系统引导日志的查看01学生再次练习完成KR2指标02教师点评KR2活动达标率课堂总结学习要点使用事件查看器查看Windows日志使用命令查看Linux系统日志思政要点网络安全法要求企业要按等保要求，安全个体要有安全意识；企业的安全要实施管理与技术都要有要求，才能实现安全基本要求。课后作业思考与练习实训：在Windows10客户端远程登录WindowsServer2019，以管理员身份运行eventvwr.msc程序，查看安全日志中远程用户登录事件。谢谢观看自己动手练习练习吧!日志管理日志过滤课前准备1.观看视频，学习Windows和Linux日志过滤方法。Windows日志过滤方法Linux日志过滤方法情境导入公司依据网络等级保护三级对于日志管理的要求：“应详细记录运维操作日志，包括日常巡检工作、运行维护记录、参数的设置和修改等内容”。为了精准查看企业用户操作系统日志，管理员需要通过过滤技术进行系统操作日志筛选，从而及时发现可能存在的异常情况，做好系统的安全防护工作。根据预习资料，思考请例举:如何使用事件查看器工具查看Windows安全日志？情境导入-教师基于问题及课前自测情况开展评价活动学生回答教师提出的问题教师基于问题及课前自测情况开展活动教师对学生的回答结果进行分类概括教师展示学生预习自测题情况教师就提出的问题及测试结果完成课前评价1.

使用事件查看器工具查看Windows安全日志；2.

使用事件查看器工具过滤特定的事件ID。根据安全管理要求，提出任务教学活动一：在给出的Windows安全日志中找出所需的日志为此，管理员需要完成以下运维工作：分析任务开展讨论，明确任务要求和任务目的：1.了解Windows安全日志的特定事件ID提问、设疑：如何使用事件查看器工具查看Windows安全日志？组织讨论与展示，教师点评、组织学生互评教学活动一：在给出的Windows安全日志中找出所需的日志步骤01任务步骤打开事件查看器并查看windows安全日志。步骤02在安全日志操作窗口输入事件ID：4720，查看创建用户成功情况。步骤03选择事件属性命令查看事件ID：4720属性。步骤04在安全日志操作窗口输入事件ID：4726，查看删除用户成功情况。步骤05选择事件属性命令查看事件ID：4726属性。教学活动一：在给出的Windows安全日志中找出所需的日志任务初探.下发操作视频巡视指导学生、解答疑惑组织学生演示分享教学活动一：在给出的Windows安全日志中找出所需的日志学生根据操作视频，讨论完成任务教师点评（学生参与度、任务完成情况）、组织学生互评教师评价学生练习、点评实战结果提出教学KR指标110分钟内完成Windows中使用事件查看器工具过滤特定的事件ID的任务01学生再次练习完成KR指标102教师点评展示学生的KR1活动达标率情况教学活动一：在给出的Windows安全日志中找出所需的日志根据等级保护的日志管理要求教学活动二：使用grep或egrep命令从给定的Linux日志中找出所需的日志管理员需要定期对Linux系统登录日志进行过滤，从而及时发现系统可能存在的安全风险，进行相关预防和安全加固工作。组织讨论讨论Linux系统日志过滤方法。设问：Linux系统内安全日志与系统日志的路径分别是什么？分小组展示讨论的结果小结小组讨论教学活动二：使用grep或egrep命令从给定的Linux日志中找出所需的日志grep命令的用法、参数和示例.egrep命令的用法、参数和示例。教师点评、组织学生互评步骤01任务步骤使用grep相关命令，过滤出linux安全日志内指定日期的内容。步骤02使用grep相关命令，过滤出linux系统日志内带“info”的日志内容。分析任务：根据任务要求，讨论任务完成步骤教学活动二：使用grep或egrep命令从给定的Linux日志中找出所需的日志小结任务步骤教学活动二：使用grep或egrep命令从给定的Linux日志中找出所需的日志过滤并分析安全日志内的各项日志内容；过滤并分析系统日志内的各项日志内容。教师点评、组织学生互评任务初探任务单巡视指导学生、解答疑惑教学活动二：使用grep或egrep命令从给定的Linux日志中找出所需的日志教师点评、组织学生互评完成任务教师对学生的交流合作情况进行评价提出教学KR2指标15分钟内完成活动相关域用户账户和组的创建01学生再次练习完成KR2指标02教师点评展示学生的KR2活动达标率情况教学活动二：使用grep或egrep命令从给定的Linux日志中找出所需的日志课堂总结学习要点在给出的Windows安全日志中找出所需的日志使用grep或egrep命令从给定的Linux日志中找出所需的日志思政要点网络安全法要求企业要按等保要求，安全个体要有安全意识企业的安全要实施管理与技术都要有要求，才能实现安全基本要求课后作业实训：在linux系统内使用egrep命令过滤关键字为“info”的message日志文件并分析。谢谢观看自己动手练习练习吧!日志管理日志导出课前准备1.观看视频，了解Windows日志的导出方法。2.基于资料了解linux日志服务器的搭建配置方法。Windows日志的导出方法linux日志服务器的搭建配置方法情境导入日志对于安全来说，非常重要，他记录了系统每天发生的各种各样的事情，你可以通过他来检查错误发生的原因，或者受到攻击时攻击者留下的痕迹。日志主要的功能有：审计和监测。他还可以实时的监测系统状态，监测和追踪侵入者等等。因此基于Windows服务器，要求掌握导出日志的方法；基于Linux服务器，掌握日志服务器的搭建以及客户机与服务器的关联方法。根据预习资料，思考请例举:服务器发现异常时，要怎么导出日志和并对日志做出审计？情境导入-教师基于问题及课前自测情况开展评价活动学生回答教师提出的问题教师基于问题及课前自测情况开展活动教师对学生的回答结果进行分类概括教师展示学生预习自测题情况教师就提出的问题及测试结果完成课前评价根据安全管理要求，提出任务教学活动一：导出Windows系统及安全日志公司的WINDOWS服务器前天晚上突然服务有所异常，现经安全运维人员需要将安全日志和系统日志导出，并进行日志审计，请完成日志导出工作。分析任务开展讨论，明确任务要求和任务目的：1.导出系统日志；2.导出安全日志。组织讨论与展示，教师点评、组织学生互评步骤01任务步骤进入事件查看器的Windows日志进行分类日志导出。教学活动一：导出Windows系统及安全日志任务初探下发操作视频巡视指导学生、解答疑惑组织学生演示分享教学活动一：导出Windows系统及安全日志学生根据操作视频，讨论完成任务教师点评（学生参与度、任务完成情况）、组织学生互评教师评价学生练习、点评实战结果提出教学KR指标110分钟内完成任务要求01学生再次练习完成KR指标102教师点评展示学生的KR1活动达标率情况教学活动一：导出Windows系统及安全日志任务场景教学活动二：搭建Linux日志服务器公司要求搭建一个简单的Linux日志服务器，将日志实时传送到一个更加安全的远端服务器上，实现日志的集中、统一式管理。提出任务1）配置Linux日志服务器，统一收集日志。2）其他客户机将日志发送到日志服务器。组织讨论教学活动二：搭建Linux日志服务器讨论以下问题：日志服务器的日志配置文件应该修改哪些点？客户机怎样和日志服务器进行联动，把本机日志发送到日志服务器？组织分小组展示讨论小结学生讨论教学活动二：搭建Linux日志服务器服务器需要设定接受协议并指定端口号客户端需要指定日志传送目的服务器地址和协议方式，以及日志类型配置文件修改后需要重启服务教师点评、组织学生互评步骤01任务步骤配置Linux日志服务器的日志配置文件。步骤02配置客户机的日志配置文件。步骤03验证客户机日志的去向。教学活动二：搭建Linux日志服务器教学活动二：搭建Linux日志服务器任务初探任务单巡视指导学生、解答疑惑教师点评、组织学生互评完成任务教学活动二：搭建Linux日志服务器教师对学生的交流合作情况进行评价提出教学KR2指标10分钟内按要求完成任务二操作01学生再次练习完成KR指标202教师点评展示学生的KR2活动达标率情况课堂总结学习要点导出Windows系统及安全日志搭建Linux日志服务器思政要点网络安全法要求企业要按等保要求，安全个体要有安全意识企业的安全要实施管理与技术都要有要求，才能实现安全基本要求课后作业思考与练习请简述Windows系统中有哪些类型的日志？关于Linux日志服务器，思考怎样对日志进行分类？日志分类基于哪些属性？Linux日志服务器默认是不接收远端日志的，请写出如何配置才能接收远端发来的日志？谢谢观看自己动手练习练习吧!日志管理日志排查课前准备1.回顾日志的操作；2.观看日志分析案例。

日志的操作日志分析案例

情境导入公司依据网络等级保护三级对于日志管理的要求：“应详细记录运维操作日志，包括日常巡检工作、运行维护记录、参数的设置和修改等内容”。为了记录和查看企业用户操作系统的日志，除了行政管理要求外，管理员还需要掌握对系统日志审计操作，从而及时发现可能存在的异常情况，做好系统的安全防护工作。为此，公司管理员需要完成以下运维工作：排查Windows日志；排查Linux日志。情境导入-教师基于课前自测情况开展评价活动教师基于课前自测情况开展活动教师展示学生预习自测题情况教师就测试结果完成课前评价1.攻击者是用什么手段进行渗透入侵？2.分析一下攻击者，用什么方式登录到当前主机的。3.登录后做了什么？根据安全管理要求，提出任务：教学活动一：排查Windows系统日志公司的WINDOWS服务器前天晚上突然服务有所异常，现经安全运维人员紧急处理，将服务器断网后，经过仔细排查，发现有帐号的登录，将服务器的日志已经导出带回。现要求安全技术人员对系统日志进行审计，要求如下：教学活动一：排查Windows系统日志要找出恶意者做了什么，分析日志的步骤是什么？对于一份日志，我们应该是按怎么步骤进行分析？教师点评、组织学生互评教学活动一：排查Windows系统日志步骤01任务步骤先初步浏览，发现不同的日志区间；步骤02筛选可疑事件ID；步骤03确定可疑事件ID出现的时间段；步骤04按照最后的时间段，继续向下排查；步骤05定位异常事件。教学活动一：排查Windows系统日志任务初探下发任务单（课中资料）下发操作视频学生开展活动一实训教师点评任务完成情况教学活动一：排查Windows系统日志教师点评活动一实训环节（参与度、完成情况）提出教学KR1目标10分钟内完成任务要求01学生再次练习完成KR1指标02教师点评KR1活动达标率教学活动二：排查Linux日志公司的Linux服务器又到规定的运维时间，日志已经下载到本地，要求安全技术人员进本地Linux系统上对日志进行排查：提出活动内容Linux下可以用什么命令？Linux下的日志排查的步骤是什么？教学活动二：排查Linux日志小结1讨论小结Linux下可以使用sort,uniq,grep,awk等命令结合过滤与统计日志中的信息；小结2Linux下的日志排查的步骤与Windows是一样的（先粗后细）。教师点评，组织学生自评、互评设定共享权限的原则：教学活动二：排查Linux日志步骤01任务步骤将实训的testlog.tar.gz日志文件在Linux系统中解包；步骤02按要求排查日志，找出最后一次root的登录时间、从什么地方登录；步骤03排查相关日志，找出最后一次网络登录的来源IP是什么；