在我們學習了密碼學原理後,我將我的視角轉向資安防禦最基礎的核心:系統日誌(Logs)。日誌是系統上所有事件的原始記錄,是所有安全監控系統(如 XDR、Wazuh)的數據來源。
今天,我專注於 TryHackMe 上 "Intro to Logs" 相關房間的學習,目標是理解日誌的類型、結構及其重要性。
日誌並不只是一堆文字。在 Linux 或 Windows 系統中,日誌被分門別類,各有其用途:
理解日誌的結構,是專業分析的第一步。一個標準的日誌條目通常包含:
今天的學習讓我意識到,沒有日誌,就沒有真正的資安防禦。日誌是防禦者的「雷達」,記錄了系統上的每一個微小變動。特別是對於我的 XDR 實習背景來說,這是將數據餵給 Wazuh 和其他監控系統的原始數據(Raw Data)。我必須清楚地知道數據從何而來,以及它們代表的含義。