V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
nvyao
V2EX  ›  信息安全

安全部门想要采集 Linux 服务器上的一些日志,可以采集哪些日志?

  •  
  •   nvyao · 16 天前 · 1746 次点击

    var-log-secure: 记录认证相关的事件,如用户登录成功/失败、sudo 命令执行等 var-log-auth.log: 与 secure 类似,也记录认证相关的事件。 var-log-audit-audit.log:Linux 安全审计子系统 (auditd) 生成的审计日志,记录系统级别的安全事件。 var-log-cron:记录定时任务的运行信息。

    我整理了这些,还有其他的师傅们推荐一下,可以尽量全面一点

    7 条回复    2024-11-27 09:52:34 +08:00
    GeorgeWai
        1
    GeorgeWai  
       16 天前
    audit 有各种规则需要设定过,然后可以获取 ssh 登录信息,文件各种属性被修改的信息; linux 一切皆文件,只需要把需要关注的目录路径设定后,辅以 audit 规则就可以完成一切监控。再底层的就需要使用 ebpf 这种模式去跟踪了,那是另外一回事了。
    XDiLa
        2
    XDiLa  
       16 天前
    看起来基本都是 27001 问你要的数据 都是很正常简单的
    bthulu
        3
    bthulu  
       16 天前
    按事件来记录, 永远会有新的程序新的事件新的命令出现, 每次出现了就要适配, 累不死你.

    听我的, 直接每秒生成一次磁盘快照上传到 git 就行了. git 直接就可以对比前后两次文件差异, 就知道干了啥了.
    v2wp
        4
    v2wp  
       16 天前
    nvyao
        5
    nvyao  
    OP
       16 天前
    @v2wp 谢谢
    cnevil
        6
    cnevil  
       15 天前
    不只上面提到的这些哦,你可以问下负责安全的同事,/var/log 里那些系统日志只是一部分,其他各种中间件的日志也是需要的,nginxapache 啊数据库啊等等等等
    要这些日志的目的就在于发生安全事件了可以能更方便的对攻击链进行还原,比如攻击者通过什么途径进来的,访问了哪些东西,执行了什么命令,避免出现服务器日志被攻击者清了或者保存时间不够等这些没法继续排查的情况出现。要是对方也不知道都要什么日志的话你就从这个角度考虑就好了,毕竟我们也不知道你都有什么
    mingtdlb
        7
    mingtdlb  
       14 天前
    他们要采集数据,采集哪些不应该是他们为准 告诉你要哪些?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   907 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 22:34 · PVG 06:34 · LAX 14:34 · JFK 17:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.