日志数据源主要包括系统日志、WEB日志、路由器日志等日志,其中,日志类型主要包括以下几个种:
- secure 日志
/var/log/secure,该日志记录了系统每天发生的各种各样的事情,包括那些用户曾经或者正在使用系统,可以通过日志来检查错误发生的原因,更重要的是在系统受到黑客攻击后,日志可以记录下攻击者留下的痕迹。主要应用场景包括口令暴力破解、SSH使用频率最高的TOP N账户、用户登录最频繁的时间段、登录失败次数最高的TOP N账户、用户登录失败最频繁的时间段、登录IP地址异常统计、异常登录行为、权限提升行为识别、尝试登录扫描事件、用户权限异常提升、操作维护使用频率最低的TOP N帐户、操作维护使用频率最高的TOP N帐户,PRI是32-39,Centos系统 80-87。
- access 日志
/var/log/apache_access_log,该日志记录服务器所处理的所有请求,可以借助此日志实现用户WEB访问行为的监控。主要应用场景包括Web扫描,PRI是160-167。
- message日志
/var/log/message,经过配置,该日志记录了用户的所有输入命令序列,包括用户的IP地址、用户名、输入的命令序列等。主要应用场景包括非法上传行为识别、系统文件访问权限异常提升、用户权限异常提升、非授权新增账号或更改账号口令、非法文件下载痕迹检查、非法修改、删除日志文件行为识别、操作维护使用频率最低的TOP N帐户、操作维护使用频率最高的TOP N帐户、日志进程启停痕迹检查,PRI是8-15。
- audit日志
/var/log/audit,经过简单的配置,该日志记录了针对某些文件的修改和操作信息,例如对日志记录的删除和修改等。主要应用场景包括非法修改、删除日志文件行为识别、非授权新增账号或更改账号口令,PRI是171。
- ftp和tftp日志
/var/log/xferlog,该日志记录了文件上传和下载时的相关信息,包括上传文件大小、名称等信息。主要应用场景包括非法文件下载痕迹检查,PRI是172、174。
- database日志
/var/log/mysql/general.log,该日志记录了用户对数据库的相关操作信息,可以用来分析数据库异常操作行为。主要应用场景包括非法数据库访问痕迹检查,PRI是170。
- pacct日志
/var/account/pacct,该日志记录了用户使用的相关进程以及进程对资源的相关使用情况。主要应用场景包括安插后门非法进程识别,PRI是173。
- ARP日志
/var/log/arplog,该日志记录了某段时间内IP和MAC的对应关系。主要应用场景ARP攻击,PRI是169。
- Netstream日志
该日志记录了流量相关日志,主要应用场景包括主机通信流量异常行为、外部异常连接行为、端口扫描、ICMP扫描、DDos攻击、内部异常连接行为。