iT邦幫忙

2025 iThome 鐵人賽

DAY 4
0
Security

Cybersecurity 淺談資安學習歷程系列 第 4

Day 4|《資安新手也能玩 Log?揭開系統日誌的真面目 Ep.1》

  • 分享至 

  • xImage
  •  

前言

昨天主要跟大家分享了——Phishing 釣魚攻擊,包含它的種類、手法以及如何有效預防等等。今天則是要跟大家分享 Log 是什麼?有聽過沒看過?是數學的 Log 嗎?它存在的意義、用途以及重要性為何?那我們就開始咯!GoGoGo~


派大星皺眉
網路截取自 https://co.pinterest.com/pin/582301426872311011/

Log 是什麼?

中文又稱為「日誌」,不是我們國、高中上數學課會學到的 Log 指對數哦!它在電資領域當中,指的是資訊系統中任何活動、事件發生的「紀錄」,沒錯!簡單來說呢,它就是 records。而眾多 records 的集結就是「Log file 日誌檔」啦!而日誌檔的部分通常一天會產生一份 Log file。舉個簡單的例子:

以海綿寶寶 🧽 為例,海綿寶寶在蟹堡王工作,每天的工作就是負責煎漢堡、接待客人、送餐等等。派大星常常來店裡偷吃,章魚哥是櫃檯服務員,蟹老闆則是店裡的 Boss 老闆。

你可以想像「Log」就像是蟹堡王的日誌本,會記錄「每天」店裡發生的重要事情。

那麼蟹堡王的日誌本大概就會長這樣:

  • 早上8點:海綿寶寶打卡上班。(Log:海綿寶寶進入店裡)
  • 上午9點:派大星來店裡點了一個蟹堡。(Log:派大星購買蟹堡)
  • 中午12點:章魚哥請假離開去午休。(Log:章魚哥離開櫃檯)
  • 下午2點:蟹老闆檢查收銀機。(Log:蟹老闆存取收銀機資料)
  • 晚上7點:海綿寶寶下班。(Log:海綿寶寶離開店裡)

這些「Log」就是把每個「角色」、每個「行為」、什麼「時間(會有 Time stamp)」以及「發生地點」都記錄下來。所以假設有一天蟹堡王的錢不見了,蟹老闆就可以去翻翻 Log,看看哪個時間誰使用過收銀機,就可以很大的節省時間和成本,查明真相!

海綿寶寶騎水母~
網路截取自 https://www.google.com/url?sa=i&url=https%3A%2F%2Fwww.netflix.com%2Ftw%2Ftitle%2F70155547&psig=AOvVaw2ZBL--exd-w2XAaP1sfwfg&ust=1757080482162000&source=images&cd=vfe&opi=89978449&ved=0CBUQjRxqFwoTCIi3oPahv48DFQAAAAAdAAAAABAE

🐳 小總結:

Log 就像是記錄每個人、每件事的「小日誌」,讓大家在事情發生後,可以回頭查證、追蹤。有了 Log,資安人員就可以用它來還原事件的經過,找到問題根源!


Log file 種類大集合

根據所記錄的活動內容或監控的對象,日誌可以分成多種不同的類型唷!😎 例如事件日誌、交易日誌、伺服器日誌、系統日誌、存取日誌、應用程式日誌與安全日誌等等。而這些分類並沒有互斥關係~所以說,一個日誌檔案往往同時涵蓋多種性質。而篇幅問題,我將會針對我個人比較熟悉以及常見的 Log file 種類來進行講解以及分享!

1. 事件日誌(Event Logs)

又稱「活動紀錄檔」,用於記錄系統或應用程式中發生的各種事件,狀態欄位可能包含成功、警告、錯誤等。至於事件的內容則會依據不同的資訊系統的設定有不同詳細程度以及種類。

  • 通常用來追蹤特定事件的發生時間、影響範圍,以及觸發原因。
  • 在 Windows 系統裡很常見,例如「事件檢視器」中的 Application、Security、System logs。

2. 交易日誌 (Transaction Log)

或稱「事務日誌」,它常用於資料庫系統,用來記錄所有「交易操作」(如新增、修改、刪除)。

  • 確保資料的一致性與可回溯性,方便在系統崩潰或異常時進行復原。
  • 對於「金融、電商」這種對「資料正確性要求極高」的系統特別重要!

3. 伺服器日誌 (Server Log)

由自家伺服器自動產生的一個 record 紀錄檔!記錄伺服器層級的運作狀態,例如 Web server 的請求紀錄、HTTP 回應狀態碼、錯誤訊息,以及使用者 client 端 IP 位址等等訊息。

  • 協助分析使用者行為、偵測伺服器壓力來源、找出效能瓶頸。
  • 像「**Nginx、Apache」**都會產生 access.log(存取紀錄,蠻常會看到的 👀,下面會特別說明)、error.log(錯誤紀錄)。

4. 系統日誌 (System Log / Syslog)

記錄作業系統本身的運行狀況,包含開機、驅動載入、核心錯誤、硬體狀態等。

  • 協助系統管理員了解整體 OS 的健康狀態與可能的異常。
  • Linux/Unix 使用 syslog 或 journalctl 集中管理;是資安監控中不可或缺的資料來源。

5. 存取日誌 (Access Log)

專門記錄使用者或系統對「伺服器、資料庫、檔案系統等等 IT 資源」的「存取行為」,例如誰在什麼時間存取了哪個檔案或資源。它的範疇非常廣泛,包括前面提及的 Wev server 的 access.log,還有 FTP command log 等等。

  • 用來「監控授權」與「存取控制」,能協助偵測未經授權的操作。
  • 常用於追蹤「資料洩漏」事件,幫助判斷是誰看過或下載過敏感資料。

6. 應用程式日誌 (Application Log)

用於記錄**某個「特定應用程式」**的事件(運作狀態、使用流程、錯誤訊息等)。

  • 通常由開發者自訂格式,用來除錯(debug)、分析使用行為或監控功能。
  • 格式彈性很大,取決於開發者怎麼設計;在 DevOps 與資安事件調查都很常用。

7. 安全日誌 (Security Log)

與資安相關的操作紀錄,例如登入失敗、權限提升、存取敏感檔案、異常流量。

  • 是偵測入侵、調查惡意行為的第一手資料。
  • 常與 SIEM(Security Information and Event Management)系統整合,用來即時偵測攻擊。

🐳 小總結

不同類型的日誌就像不同的「監視器」,從資料庫操作、使用者行為、應用程式錯誤到系統安全,每一種都提供不同角度的證據,全部合起來就能完整重現整體事件的全貌!oh yeah 🤩


結語

好啦!今天主要跟大家分享 Log 為何?以及各種不同種類的 Log file,還有使用的途徑以及重點。明天後續的篇章就會特別針對實務上怎麼使用,怎麼分析 Log 以及管理 Log,以及什麼工作、領域的資安人會更需要熟悉 Log file!我們明天見!😎


上一篇
Day 3|釣魚釣到什麼魚?你是別人眼中的魚嗎?基礎識別以及預防方法
下一篇
Day 5|《資安新手也能玩 Log?揭開系統日誌的真面目 Ep.2》
系列文
Cybersecurity 淺談資安學習歷程5
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言