系統日誌

日誌檔案

日誌檔案是由軟體產生的檔案，包含應用程式、伺服器或IT系統的操作、活動和使用模式的相關資訊。其中包含的日誌類型有事件日誌、存取日誌、伺服器日誌、變更日誌，還有今天要介紹的系統日誌。

系統日誌是甚麼?

系統日誌是操作系統、應用程式、網絡設備等生成的記錄檔案，用來記錄各種事件和活動，對於監控系統健康、故障排除及安全分析至關重要。具體作用包括：

1. 記錄系統事件：每次開機、重啟、關機、程式運行和崩潰等重要事件都會被日誌記錄，便於日後排查問題。
2. 監控安全事件：系統日誌詳細記錄使用者登入登出、權限變更、文件訪問等操作，能幫助識別未經授權的操作或潛在的安全威脅。
3. 分析攻擊行為：日誌能幫助發現潛在的攻擊痕跡，例如暴力破解、惡意軟體活動、網絡入侵等。

常見類型

以下以Windows來看:

1. 系統日誌（System Log）：記錄系統級別的事件，包括驅動程式啟動或崩潰、服務啟停等系統層級事件。
   例如

• ID6008:非正常關機
• ID41:系統意外重啟

2. 應用程式日誌（Application Log）：應用程式的啟動、錯誤、性能警告等。
   例如

• ID1000:應用程式崩潰
• ID1026:.NET Framework 錯誤

3. 安全日誌（Security Log）：記錄與系統安全相關的事件，如登入、登出、權限變更等。
   例如

• ID4624:成功的登入事件
• ID4625：失敗的登入事件（暴力破解攻擊的潛在線索）。
• ID4672：高權限用戶登入（如系統管理員）。

參考資料

https://aws.amazon.com/tw/what-is/log-files/