在我們學習了密碼學原理後，我將我的視角轉向資安防禦最基礎的核心：系統日誌（Logs）。日誌是系統上所有事件的原始記錄，是所有安全監控系統（如 XDR、Wazuh）的數據來源。

今天，我專注於 TryHackMe 上 "Intro to Logs" 相關房間的學習，目標是理解日誌的類型、結構及其重要性。

日誌的核心概念：三大關鍵日誌

日誌並不只是一堆文字。在 Linux 或 Windows 系統中，日誌被分門別類，各有其用途：

• 系統日誌（System Logs）： 記錄作業系統的核心事件，例如系統啟動、關機、核心錯誤等。這是了解主機運作狀態的關鍵。
• 應用程式日誌（Application Logs）： 由特定的軟體產生的日誌，例如 Web 伺服器的存取日誌（Access Logs）、資料庫的錯誤日誌等。這是我們追蹤 SQLi 或文件上傳等 Web 攻擊的重點。
• 安全日誌（Security/Authentication Logs）： 記錄所有的身份驗證事件，包括成功的登入、失敗的嘗試、以及權限變更等。這是發現暴力破解和非法帳號存取的首要來源。

日誌的結構與重要性

理解日誌的結構，是專業分析的第一步。一個標準的日誌條目通常包含：

• 時間戳（Timestamp）： 精確的發生時間，重建攻擊時間線的基礎。
• 來源（Source）： 產生日誌的服務或程序（例如 sshd、nginx）。
• 等級（Severity Level）： 事件的嚴重程度（例如 INFO、WARNING、ERROR）。

今日挑戰心得：日誌是防禦者的雷達

今天的學習讓我意識到，沒有日誌，就沒有真正的資安防禦。日誌是防禦者的「雷達」，記錄了系統上的每一個微小變動。特別是對於我的 XDR 實習背景來說，這是將數據餵給 Wazuh 和其他監控系統的原始數據（Raw Data）。我必須清楚地知道數據從何而來，以及它們代表的含義。