日志来源

服务器与操作系统日志

应用日志：数据库，DNS，网站

网络设备日志：交换机，路由器，防火墙等

物理设备：照相机，控制访问系统等

操作系统日志

登陆注销/执行特权指令/系统启动关闭/服务活动/错误

Windows日志

系统日志

记录操作系统组件产生的事件，主要包括驱动程序、系统组件，、应用软件崩溃和数据丢失错误。

默认日志位置

%SystemRoot%\System32\Winevt\Log\System.evtx

应用程序日志

包含应用程序或系统程序记录的事件

默认日志位置

%SystemRoot%System32\Winevt\Logs\Application.evtx

安全日志

记录系统安全审计事件，登陆日志，对象访问日志，进程追踪，特权使用，账号管理，策略变更，系统事件

默认日志位置

%SystemRoot%\System32\WInevt\Logs\Secuity.evtx

Linux事件日志

Syslog

/var/log

syslog是用于在IP网络中传输事件通知的一个C/S协议。默认情况下，syslog服务是在本地运行的，并允许系统管理员配置本地操作系统和应用程序数据的日志，配置文件同位于/etc/Syslog.conf，不加密。远程日志 ，syslog的默认端口UDP 514。

日志一般都会发送到各自特定的模块，完全由管理员定制，local0-7保留私有定制，常见syslog模块：auth，authpriv，cron，daemon，ftp...

优先级：debug（包含情报的信息，调试程序时使用），info（情报信息），notice（非报错，待处理），warning（警告），err（错误）/error，crit（重要情况）/panic

syslog-ng

syslog附加了传输加密（TLS），能通过加密信道发送信息到syslog-ng服务器。可配置为TCP传输。

配置位于/etc/syslog-ng/syslog-ng.conf

消息路由由源（文件，UDP端口，TCP端口），目标（写入），过滤器（指定一组将被记录的模块和端口），创建日志语句

Rsyslogd

支持IPv6，TCP传输，TLS/SSL用作加密传输，向前兼容，精确时间戳

应用日志

详见各应用

物理设备日志

摄像头日志：Zoneminder

UPS日志：Apcupsd

网络设备日志

日志记录架构：本地，远程分散，集中化。

日志聚合和分析工具

终端：SNARE。

中央聚合和分析软件：Splunk（日志检测），DAD（分布式日志聚合数据分析），MARS（思科检测分析响应系统）

收集和分析证据

收集

物理连接（SATA），手工远程（SSH ，RDP），中央日志聚合

分析

思路e.g: 检查登陆尝试日志（是否存在爆破）

检查特权身份使用

检查身份验证日志是否有篡改

检查防火墙日志，内网情况

---

交换机、路由器、防火墙

交换机

2/3层设备

管理级交换机：支持VLANs，访问控制，ARP缓存，端口镜像，命令行模式，SNMP，web接口

交换机证据：转发前的数据包，CAM表，ARP表等等

路由器

3层设备

证据：路由表，转发前数据包，ARP表，DHCP日志，访问控制等等

防火墙

分类：

数据包过滤：规则包括源地址和目的地址（3层）和tcp端口、标志（4层协议头）。

会话层代理：通过状态决定是否代表终端与对方建立连接。源和目的之间通过代理连接，不直接连接，提供TLS/SSL

应用层代理

企业级防火墙通常有IDS，NAT，DHCP，VPN隧道，负载均衡等等

证据：接口配置，ACLs和其他防火墙规则，隧道及状态，路由表和ARP缓存，数据包，历史命令，访问日志等。

---

Web 代理

分类：缓存代理（储存页面），内容过滤（检查web流量），TLS/SSL代理（会话层拦截Web流量），匿名代理，反向代理（内容检查，过滤入内部站的请求）

证据类型

所有HTTP/s流量和历史记录（内存和硬盘中缓存、登陆web网站的身份验证信息）、被阻止的Web访问、用户活动报告、web代理配置文件。

获取证据

储存在Web代理服务器或日志服务器中的日志文件。

web代理服务器的web缓存

squid分析工具

TLS（传输层安全）

TLS改进自SSL，设计成位于传输层顶部，如TCP，向更高层的应用提供加密安全，在CS传输中提供机密性和完整性保护

web服务器会把数字签名过的证书发送给客户端，客户端会用可信的CA证书去验证Web服务器的身份，使用与证书验证者对应的公钥检查数字签名。

---

网络隧道

IPsec

网际安全协议，为实现虚拟私有网络。提供节点间的相互认证，保证信息的完整性和机密性。

IPsec中有三个主要协议用来建立“安全关联”。IKE网际密钥交换用与生成和在终端间传递密钥，AH认证包头提供节点之间的认证与IP包头中完整性验证，ESP封装安全载荷提供数据包的机密性。

通常遇到VPN的流量会被IPsec封装。

工作模式

隧道模式：原始IP包会被封装在新的IP包里，填新的IP头。原IP包被完整加密

传输模式：原始IP包的头部和载荷分析。新IP包的载荷由原来的载荷和插入的IPsec头组成。原载荷被AH和ESP保护。原IP头保留到包的最前端，一些字段会被修改。

隧道模式的初始化通过500端口完成，传输通过50、51端口，通过第三层传输。传输模式通过UDP 4500端口传输

IPSec用于第三层终端加密，TLS用于第五层加密。OpenVPN基于TLS/SSL，IP包封装在会话层的TLS端。也就是说，分析TLS数据可以在会话层找到加密数据，可以找到源IP和目的IP。IPsec则在第三层找到数据可能更少

隐藏隧道

TCP序列号

使用32位长的TCP序列号构造隐藏隧道。通过数据加密，将数据32位一份，当作初始序列号镶嵌在TCP SYN包里。通过控制SYN/ACK响应包，达到构造双工信道

DNS隧道

DNS协议中含有理想字段：NULL，YXY，MX，SRV。最不常用的就是NULL字段。通过检查NULL字段和异常DNS请求和响应判定是否有DNS隧道

ICMP隧道

用于故障检修。出现在IP数据包，协议号1，在IPv4的协议字段中。

type 3 code 0表示目标站点不可达，网络不可达。type3code13表明目标站点不可达，通信被强制禁止。type11code0表示超时，TTL传输超时。type11code1表示片段重组超时。此时，载荷会包含IP头部，引发ICMP故障响应的第四层协议数据包的头部来告知故障原因。

type8（echo请求）和type0（echo响应）一般用于构造隐藏隧道。type8通常不会被防火墙拦截，type0被允许进入内网。此时的数据包包含type,code,校验和,一个标识符，一个请求或响应的序列号，还允许附上任意大小的任意数据。当然不能超过IP包的最大长度。

通常ICMP包过大才会被拦截