日志数据源主要包括系统日志、WEB日志、路由器日志等日志,其中,日志类型主要包括以下几个种:

  1. secure 日志

/var/log/secure,该日志记录了系统每天发生的各种各样的事情,包括那些用户曾经或者正在使用系统,可以通过日志来检查错误发生的原因,更重要的是在系统受到黑客攻击后,日志可以记录下攻击者留下的痕迹。主要应用场景包括口令暴力破解、SSH使用频率最高的TOP N账户、用户登录最频繁的时间段、登录失败次数最高的TOP N账户、用户登录失败最频繁的时间段、登录IP地址异常统计、异常登录行为、权限提升行为识别、尝试登录扫描事件、用户权限异常提升、操作维护使用频率最低的TOP N帐户、操作维护使用频率最高的TOP N帐户,PRI是32-39,Centos系统 80-87。

  1. access 日志

/var/log/apache_access_log,该日志记录服务器所处理的所有请求,可以借助此日志实现用户WEB访问行为的监控。主要应用场景包括Web扫描,PRI是160-167。

  1. message日志

/var/log/message,经过配置,该日志记录了用户的所有输入命令序列,包括用户的IP地址、用户名、输入的命令序列等。主要应用场景包括非法上传行为识别、系统文件访问权限异常提升、用户权限异常提升、非授权新增账号或更改账号口令、非法文件下载痕迹检查、非法修改、删除日志文件行为识别、操作维护使用频率最低的TOP N帐户、操作维护使用频率最高的TOP N帐户、日志进程启停痕迹检查,PRI是8-15。

  1. audit日志

/var/log/audit,经过简单的配置,该日志记录了针对某些文件的修改和操作信息,例如对日志记录的删除和修改等。主要应用场景包括非法修改、删除日志文件行为识别、非授权新增账号或更改账号口令,PRI是171。

  1. ftp和tftp日志

/var/log/xferlog,该日志记录了文件上传和下载时的相关信息,包括上传文件大小、名称等信息。主要应用场景包括非法文件下载痕迹检查,PRI是172、174。

  1. database日志

/var/log/mysql/general.log,该日志记录了用户对数据库的相关操作信息,可以用来分析数据库异常操作行为。主要应用场景包括非法数据库访问痕迹检查,PRI是170。

  1. pacct日志

/var/account/pacct,该日志记录了用户使用的相关进程以及进程对资源的相关使用情况。主要应用场景包括安插后门非法进程识别,PRI是173。

  1. ARP日志

/var/log/arplog,该日志记录了某段时间内IP和MAC的对应关系。主要应用场景ARP攻击,PRI是169。

  1. Netstream日志

该日志记录了流量相关日志,主要应用场景包括主机通信流量异常行为、外部异常连接行为、端口扫描、ICMP扫描、DDos攻击、内部异常连接行为。

转载于:https://www.cnblogs.com/bonelee/p/10862483.html

安全 日志挖掘 分析系统数据源相关推荐

  1. 基于Filebeat自动收集Kubernetes日志的分析系统

    基于Filebeat自动收集Kubernetes日志的分析系统 摘要:Docker容器产生的日志分散在不同的相互隔离的容器中, 并且容器具有即用即销的特点, 传统的解决方式是将日志文件挂载到宿主机上, ...

  2. 网站日志流量分析系统之(日志收集)

    一.概述 网站日志流量分析系统之(日志埋点)这里我们已经将相关数据通过ajax发送至日志服务器,这里我只用了一台日志服务器(本机Windows环境),日志收集主要分为以下几个步骤: ①日志服务器集结合 ...

  3. 大数据平台日志存储分析系统解决方案

    大数据平台日志存储分析系统是在大数据平台下,针对业务系统产生的日志记录进行存储和分析.日志数据来自ElasticSearch存储的日志历史数据,并将需要存储和分析的日志数据从ElasticSearch ...

  4. 喜闻乐见ELK(日志管理分析系统)

    @[TOC] #  1. 简介 ELK(日志管理分析系统),一款能将系统的日志进行分析处理,并且展示到界面上面.集各种强大功能于一身.妈妈再也不用担心我为查日志感到烦恼了. ELK核心的组件是由ela ...

  5. 大数据离线---网站日志流量分析系统(1)---简介及框架

    本次介绍网站日志流量分析系统,首先是简介和架构.后面会对架构中需要的每个模块的进行逐个介绍.本篇主要分为两个部分 网站日志流量分析系统简介 整体技术流程和架构 1. 网站日志流量分析系统简介 1.1点 ...

  6. 基于python的Nginx日志管理分析系统

    温馨提示:文末有 CSDN 平台官方提供的学长 Wechat / QQ 名片 :) 1. 项目简介 本项目利用 pandas + sklearn 对 Nginx 的日志数据进行统计分析,并利用 fla ...

  7. 2018年ElasticSearch6.2.2教程ELK搭建日志采集分析系统(教程详情)

    章节一 2018年 ELK课程计划和效果演示 1.课程安排和效果演示 简介:课程介绍和主要知识点说明,ES搜索接口演示,部署的ELK项目演示 es: localhost:9200 kibana htt ...

  8. 基于ELK打造强大的日志收集分析系统(springboot2+logback+logstash+elasticsearch+kibana)

    前言 上一代的日志分析系统springboot+log4j+flume+kafka仿佛还是昨天,现在已经流行起了新一代的springboot2+logback+logstash+elasticsear ...

  9. Web日志安全分析系统实践

    本文转自:https://xianzhi.aliyun.com/forum/topic/2136?from=timeline&isappinstalled=0 零.前言 在社区看到了这篇日志分 ...

最新文章

  1. 物理学在计算机领域的应用,物理学在计算机中的应用.doc
  2. linux 系统装中文输入法 fcitx
  3. jQuery实现自动左右滚动效果的代码实例
  4. SCCM 2012 R2---配置客户端发现方法和边界组
  5. java哪个软件编程好学吗_java好学吗?java是不是最难学的语言?
  6. Windows 2003下网络负载平衡(负载均衡)的配置
  7. AM335X 分配大于4M的framebuffer
  8. 【操作系统】I/O子系统的层次结构和核心I/O子系统
  9. 针对 SQL Server 2008 在Windows Server 2008上的访问配置 Windows 防火墙
  10. 正则表达式符号解释1
  11. ios图片轮播 (基础篇——UIScrollView实现方式)
  12. Go语言获取文件的文件路径、文件名、扩展名
  13. SuperMap/PlottingSymbol
  14. 机器学习算法实践:决策树 (Decision Tree)(转载)
  15. python socket.error: [Errno 10054] 解决方法
  16. 蘑菇街移动端混合开发体系的研发与实践
  17. Android的 线性布局,Android布局之LinearLayout线性布局
  18. freeredius3.0 mysql_edius插件下载|Edius9滤镜和转场插件Vitascene+蓝宝石插件GenArts Sapphire3.0.257 官方版_ - 极光下载站...
  19. 微信小程序模板消息接口下线了,不用慌,调用统一服务消息接口来实现相同功能
  20. Win10 如何在系统内用cmd命令查看系统详细信息

热门文章

  1. 学习python装饰器_Python装饰器学习(九步入门)
  2. python是一种编译的编程语言_Python这种编程语言
  3. 语言毕业设计选题及源代码_区块链毕业设计论文「11」
  4. jstack-查看Java进程的线程堆栈信息,锁定高消耗资源代码
  5. mysql分库主键_分库主键设计-Mysql
  6. tomcat出现5个using_出现急性心梗,要当心5个并发症,一个都不好惹!
  7. c++字符串拼接_Python零基础入门(三):字符串进阶
  8. python格式规范的要求_python模块规定的格式,按照这样写,最规范
  9. 0宽字符加密_前端AES加密方式分析,及其python实现
  10. 九九乘法表用python怎么写_用python做个九九乘法表