作業系統日誌分析中常見的搜尋條目 20160715
總結了一些常見的日誌分析中需要搜尋的內容
在linux/unix上尋找的關鍵詞
1.成功的使用者登入 “Accepted password,” “Accepted publickey,” “session opened”
2.失敗的使用者登入 “authentication failure”,"invalid user","Failed password"
3.使用者登出 “session closed”
4.使用者賬戶更改或刪除 “password changed,” “new user/account,” “delete user/account”,account removed
5.sudo操作 “sudo: … COMMAND=…,” “FAILED su”
6.服務失敗 “failed” 或 “failure”
windows常見事件ID搜尋
1.使用者登入/登出事件 成功登陸528,540;失敗登陸529-537,539;登出538,551
2.使用者賬戶更改 建立624;啟用626;更改642;禁用629;刪除630
3.密碼更改 修改為原密碼:628;修改為其他:627
4.服務啟動或者停止 7035,7036
5.物件拒絕訪問(如果啟用審計) 560,567
還有那些大家可以補充。