iT邦幫忙

2025 iThome 鐵人賽

DAY 18
0
Security

30 天 TryHackMe 實戰系列 第 18

Day 18 防禦基礎 (I),深入理解系統日誌

  • 分享至 

  • xImage
  •  

在我們學習了密碼學原理後,我將我的視角轉向資安防禦最基礎的核心:系統日誌(Logs)。日誌是系統上所有事件的原始記錄,是所有安全監控系統(如 XDR、Wazuh)的數據來源。

今天,我專注於 TryHackMe 上 "Intro to Logs" 相關房間的學習,目標是理解日誌的類型、結構及其重要性。


日誌的核心概念:三大關鍵日誌

日誌並不只是一堆文字。在 Linux 或 Windows 系統中,日誌被分門別類,各有其用途:

  • 系統日誌(System Logs): 記錄作業系統的核心事件,例如系統啟動、關機、核心錯誤等。這是了解主機運作狀態的關鍵。
  • 應用程式日誌(Application Logs): 由特定的軟體產生的日誌,例如 Web 伺服器的存取日誌(Access Logs)、資料庫的錯誤日誌等。這是我們追蹤 SQLi 或文件上傳等 Web 攻擊的重點。
  • 安全日誌(Security/Authentication Logs): 記錄所有的身份驗證事件,包括成功的登入、失敗的嘗試、以及權限變更等。這是發現暴力破解和非法帳號存取的首要來源。

日誌的結構與重要性

理解日誌的結構,是專業分析的第一步。一個標準的日誌條目通常包含:

  • 時間戳(Timestamp): 精確的發生時間,重建攻擊時間線的基礎。
  • 來源(Source): 產生日誌的服務或程序(例如 sshd、nginx)。
  • 等級(Severity Level): 事件的嚴重程度(例如 INFO、WARNING、ERROR)。

今日挑戰心得:日誌是防禦者的雷達

今天的學習讓我意識到,沒有日誌,就沒有真正的資安防禦。日誌是防禦者的「雷達」,記錄了系統上的每一個微小變動。特別是對於我的 XDR 實習背景來說,這是將數據餵給 Wazuh 和其他監控系統的原始數據(Raw Data)。我必須清楚地知道數據從何而來,以及它們代表的含義。


上一篇
Day 17 密碼學基礎,加密與 HTTPS 運作原理
下一篇
Day 19 防禦基礎 (II),日誌分析實務
系列文
30 天 TryHackMe 實戰20
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言