昨天主要跟大家分享了——Phishing 釣魚攻擊,包含它的種類、手法以及如何有效預防等等。今天則是要跟大家分享 Log 是什麼?有聽過沒看過?是數學的 Log 嗎?它存在的意義、用途以及重要性為何?那我們就開始咯!GoGoGo~
網路截取自 https://co.pinterest.com/pin/582301426872311011/
中文又稱為「日誌」,不是我們國、高中上數學課會學到的 Log 指對數哦!它在電資領域當中,指的是資訊系統中任何活動、事件發生的「紀錄」,沒錯!簡單來說呢,它就是 records。而眾多 records 的集結就是「Log file 日誌檔」啦!而日誌檔的部分通常一天會產生一份 Log file。舉個簡單的例子:
以海綿寶寶 🧽 為例,海綿寶寶在蟹堡王工作,每天的工作就是負責煎漢堡、接待客人、送餐等等。派大星常常來店裡偷吃,章魚哥是櫃檯服務員,蟹老闆則是店裡的 Boss 老闆。
你可以想像「Log」就像是蟹堡王的日誌本,會記錄「每天」店裡發生的重要事情。
這些「Log」就是把每個「角色」、每個「行為」、什麼「時間(會有 Time stamp)」以及「發生地點」都記錄下來。所以假設有一天蟹堡王的錢不見了,蟹老闆就可以去翻翻 Log,看看哪個時間誰使用過收銀機,就可以很大的節省時間和成本,查明真相!
🐳 小總結:
Log 就像是記錄每個人、每件事的「小日誌」,讓大家在事情發生後,可以回頭查證、追蹤。有了 Log,資安人員就可以用它來還原事件的經過,找到問題根源!
根據所記錄的活動內容或監控的對象,日誌可以分成多種不同的類型唷!😎 例如事件日誌、交易日誌、伺服器日誌、系統日誌、存取日誌、應用程式日誌與安全日誌等等。而這些分類並沒有互斥關係~所以說,一個日誌檔案往往同時涵蓋多種性質。而篇幅問題,我將會針對我個人比較熟悉以及常見的 Log file 種類來進行講解以及分享!
又稱「活動紀錄檔」,用於記錄系統或應用程式中發生的各種事件,狀態欄位可能包含成功、警告、錯誤等。至於事件的內容則會依據不同的資訊系統的設定有不同詳細程度以及種類。
或稱「事務日誌」,它常用於資料庫系統,用來記錄所有「交易操作」(如新增、修改、刪除)。
由自家伺服器自動產生的一個 record 紀錄檔!記錄伺服器層級的運作狀態,例如 Web server 的請求紀錄、HTTP 回應狀態碼、錯誤訊息,以及使用者 client 端 IP 位址等等訊息。
記錄作業系統本身的運行狀況,包含開機、驅動載入、核心錯誤、硬體狀態等。
專門記錄使用者或系統對「伺服器、資料庫、檔案系統等等 IT 資源」的「存取行為」,例如誰在什麼時間存取了哪個檔案或資源。它的範疇非常廣泛,包括前面提及的 Wev server 的 access.log,還有 FTP command log 等等。
用於記錄**某個「特定應用程式」**的事件(運作狀態、使用流程、錯誤訊息等)。
與資安相關的操作紀錄,例如登入失敗、權限提升、存取敏感檔案、異常流量。
🐳 小總結:
不同類型的日誌就像不同的「監視器」,從資料庫操作、使用者行為、應用程式錯誤到系統安全,每一種都提供不同角度的證據,全部合起來就能完整重現整體事件的全貌!oh yeah 🤩
好啦!今天主要跟大家分享 Log 為何?以及各種不同種類的 Log file,還有使用的途徑以及重點。明天後續的篇章就會特別針對實務上怎麼使用,怎麼分析 Log 以及管理 Log,以及什麼工作、領域的資安人會更需要熟悉 Log file!我們明天見!😎