Ценность журналов, чтобы оставаться и проанализировать в центральном репозитории
Я имею дело с большим количеством различных машин, таким образом, одно из моего избранного является псевдонимами для каждой машины, к которой я нуждаюсь к часто SSH:
alias claudius="ssh dinomite@claudius"
Также полезно установить пользу .ssh/config и ключи ssh для создания скачкообразного движения среди машин еще легче.
Другой моих любимых псевдонимов для продвижения каталогов:
alias ..="cd .."
alias ...="cd ../.."
alias ....="cd ../../.."
alias .....="cd ../../../.."
И некоторые для наиболее часто используемых изменений ls (и опечатки):
alias ll="ls -l"
alias lo="ls -o"alias lh="ls -lh"
alias la="ls -la"
alias sl="ls"
alias l="ls"
alias s="ls"
История может быть очень полезной, но по умолчанию на большинстве дистрибутивов Ваша история сдувается каждым выходом оболочки, и это не содержит много для начала. Мне нравится иметь 10 000 строк истории:
export HISTFILESIZE=20000
export HISTSIZE=10000
shopt -s histappend
# Combine multiline commands into one in historty
shopt -s cmdhist
# Ignore duplicates, ls without options and builtin commands
HISTCONTROL=ignoredups
export HISTIGNORE="&:ls:[bf]g:exit"
Тот путь, если я знаю, что сделал что-то прежде, но не могу помнить специфические особенности, быстрое history | grep foo поможет подталкивать мою память.
Я часто передавал по каналу произведенный через awk для получения определенного столбца вывода, как в df -h | awk '{print $2}' найти размер каждого из моих дисков. Для создания этого легче я создал функцию fawk в моем .bashrc:
function fawk {
first="awk '{print "
last="}'"
cmd="${first}\$${1}${last}"
eval $cmd
}
Я могу теперь работать df -h|fawk 2 который сохраняет хороший бит ввода.
Windows:
- Журнал безопасности (конкретно ищущий Контрольные Отказы)
- Системный Журнал (Для корреляции с Журналом безопасности)
- Журналы IIS
- Любые Журналы приложения для приложений направления Сети.
На Linux:
- /var/log/auth.log (логины)
- /var/log/errors.log (для... ошибок)
- Журналы SSH
- Журналы приложения
Обычно Вы хотите контролировать:
- Логины
- Системные ошибки
- Журналы приложения
Они будут самыми важными журналами для контроля, и большая часть сообщения с помощью splunk.
Система журнала только так же хороша как источник времени. Используя NTP и удостоверяющийся все Ваши серверы установлены на тот же часовой пояс, сделает Ваше задание в десять раз легче. Мне нравится устанавливать мои часы BIOS на UTC и затем устанавливать ОС на зону местного времени.
Править: Это - теперь Wiki. Добавьте свой собственный совет!
-
1Что-либо диск, ориентированный в Windows! Поймайте поврежденные кластеры, запишите проблемы и т.д. Также что-либо формирует антивирус. – Kyle Hodgson 17 June 2009 в 21:16
Это действительно зависит от того, что Вы пытаетесь обнаружить.
Если Вы ищете доступ ресурса затем (например, файлы платежной ведомости, документации по продукту):
- соберите журналы для пользователя и время доступа с сервера, где ресурс расположен
- соберите электронную почту, отслеживающую информацию, таким образом, Вы видите, если и куда ресурс идет
Если Вы ищете внешний доступ затем:
- vpn регистрируется для того, кто и когда люди входят в систему
- брандмауэр регистрируется для попыток доступа
- идентификаторы регистрируются для необычного трафика
- AD журналы входа в систему так попытки грубой силы найдены
- журналы Wi-Fi
- журналы dhcp
Снова, сначала определите то, что Вы хотите обнаружить и затем пойти для журналов, которые могут показать Вам кто, какой и где к информации/ресурсу получили доступ. Затем пойдите для следующего. На основе опыта, если Вы просто хотите все, которое Вы перестанете работать в получении обнаружения, в котором Вы нуждаетесь для чего-либо.
На Linux Вы могли бы также отправить все с системного журнала на центральный коллектор и проанализировать для шаблонов. Вы никогда не знаете то, в чем Вы будете нуждаться заранее, и можно пропустить некоторую информацию, если Вы только включаете определенные сервисы. В то время как существуют общие руководящие принципы, относительно которых средства конкретный тип приложения должен регистрироваться к, нет никаких жестких правил.
Если приложение интереса пишет свои собственные файлы журнала, я обычно поглощаю файлы журнала в демону системного журнала также и передают им центральному коллектору.
Это полезно не только для целей безопасности, но также и для нахождения ошибок конфигурации, а также аппаратных и программных отказов.