昨天，我們完成了對日誌基礎概念和類型的學習。今天，我們將進入更有挑戰性的階段：日誌分析實務（Log Analysis）。這是一個從海量資料中尋找「針」的過程，也是資安分析師（Analyst）的核心技能。

今天，我專注於 TryHackMe 上 "Intro to Analysis" 相關房間的學習，目標是掌握專業的日誌過濾和異常查找技巧。

日誌分析的核心思維：從模式中找異常

日誌分析的訣竅在於：首先建立一個正常行為的基線（Baseline），然後專注於任何偏離基線的行為。

• 過濾（Filtering）：
  面對巨大的日誌檔案，我們不能逐行閱讀。我學會了使用 grep、awk 等 Linux 指令，或在 SIEM 系統中撰寫過濾條件，來隔離出感興趣的事件。
  實務應用： 專門篩選出 status=FAIL 的登入事件，或尋找包含 UNION SELECT 關鍵字的 Web 請求。

• 關聯分析（Correlation）：
  單一的日誌事件往往沒有意義，但將多個不同日誌來源的事件串聯起來，就能揭露完整的攻擊鏈。
  實務應用： 將「Web 伺服器上的異常 POST 請求」與「主機上的檔案存取日誌」進行關聯，以確認是否有惡意文件被上傳並執行。

專業尋找異常的線索

• 地域異常（Geographic Anomaly）： 尋找使用者突然從不尋常的國家或地區登入的記錄。
• 時間異常（Time-Based Anomaly）： 尋找使用者或程式在非工作時間進行活動的記錄。
• 高頻率異常（Frequency Anomaly）： 偵測單一使用者或 IP 在短時間內產生大量失敗的活動，這往往是暴力破解或掃描的跡象。

今日挑戰心得：防禦者思維的建立

這兩天的學習，極大地強化了我的防禦者思維。日誌分析不僅是技術，更是一種思維模式。它讓我能夠站在系統管理員的角度思考：「駭客會留下什麼樣的證據？」

這也是我未來在 XDR 領域的實戰基礎。有了這層認知，我現在知道當 Wazuh 發出警報時，我應該去哪裡，用什麼指令來驗證這個警報，從而進行有效的威脅狩獵（Threat Hunting）。