LOG日誌溯源取證總結

windows操做系統事件日誌

C:\Windows\System32\winevt\Logs\ *( XP C:\Windows\System32)

• 應用程序日誌 App Event.Evtx(Application.evtx)
• 安全日誌 SecEvent.Evtx
• 系統日誌 SysEvent.Evtx

USB設備第一次鏈接電腦：setupapi.log

Windows7/8:\Windows\inf\setupapi.dev.log \ Windows XP:\Windows\setupapi.log \

Microsoft- Windows- DriverFrameworks-UserMode/Operational Event Log

• 加載USB設備驅動時,日誌ID號爲1003.2003.2010.2004.2105等
• USB設備從系統移除,日誌ID號爲2100.2102.1006.2900等

ParentIDPrefix

Linux操做系統事件日誌

由/etc/syslog.conf文件配置 格式：facility.loglevel logtarget

facility(日誌級別)	描述
auth	安全性/驗證信息（負面）
authpriv	安全性/驗證信息
cron	系統定時任務
daemon	其餘系統守護進程
kern	內核信息
lpr	行打印字系統
mail	郵件子系統
news	新聞消息
syslog	內部syslog消息
user	通常用戶級消息
uucp	UUCP子系統
Local0-local7	自定義的級別

loglevel(日誌級別)	描述
emerg	系統已不可用
alert	必須立刻採起行動
crit	危急
err	錯誤
warning	警告
loglevel	描述
notice	普通但重要的情形
info	通知信息
debug	調試信息

logtarget(日誌信息的存放位置)	描述
/path/filename	將消息追加在指定文件的尾部
@loghost	將消息寫到loghost的日誌服務器中
/path/named_pipe	將消息寫到指定的管道
User1,User2	將消息寫到所列的用戶
*	將消息寫到全部的用戶
/dev/console	將消息寫到指定的終端

例：kern.notice/var/log/kern.log 表示將內核的優先級別爲notice或者更高級別的日誌信息紀錄到/var/log/kern.log文件中

常見的日誌文件及其查看方法

日誌文件	記錄信息	查看方法
/var/log/secure	記錄系統安全信息	直接查看
/var/log/boot.log	記錄系統引導過程當中可以發生的事件（Linux系統開機自檢過程顯示的信息）	直接查看
/var/log/message	主要記錄系統所發生的錯誤信息	直接查看
/var/log/mail	記錄發送到系統或從系統發出的電子郵件的活動	直接查看
/var/log/xferlog	記錄FTP會話	直接查看
/var/log/cron	記錄例行性服務信息	直接查看
User1,User2	記錄su命令信息	直接查看
/var/adm/sulog	記錄用戶最近成功登陸事件和最後一次不成功登陸事件	lastlog命令
/var/log/lastlog	記錄每一個用戶登陸、註銷及系統啓動、停機的事件	last命令
/var/log/wtmp	記錄與當前登陸用戶相關的信息	who或users命令
/var/log/utmp	記錄命令執行記錄	直接查看
~/ .bash_ history	記錄例行性服務信息	直接查看
web日誌文件	記錄web訪問信息	直接查看
路由器日誌文件	記錄路由器相關信息	直接查看

WWW日誌、FTP日誌、郵件日誌默認存放在C：\windows\system32\logfiles\,該目錄下的W3SVC1目錄存放WWW日誌、FTP日誌和郵件日誌默認存放位置，MSFTPSVC1存放FTP日誌、MSSMTPSVC1存放SMTP日誌，文件名格式默認爲ex*.log.