一文了解应急响应中常用的日志收集方法

字数 2839 2025-08-18 11:39:22

应急响应中常用的日志收集方法

一、中间件日志收集

1.1 WebLogic日志

WebLogic默认开启日志记录功能，包含三种日志类型：

WebLogic 9及以后版本路径：

Access log: $MW_HOME\user_projects\domains\<domain_name>\servers\<server_name>\logs\access.log
Server log: $MW_HOME\user_projects\domains\<domain_name>\servers\<server_name>\logs\<server_name>.log
Domain log: $MW_HOME\user_projects\domains\<domain_name>\servers\<AdminServer_name>\logs\<domain_name>.log

WebLogic 8.x版本路径：

Access log: $MW_HOME\user_projects\domains\<domain_name>\<server_name>\access.log
Server log: $MW_HOME\user_projects\domains\<domain_name>\<server_name>.log
Domain log: $MW_HOME\user_projects\domains\<domain_name>.log

日志内容分析：

Access.log：记录HTTP请求，包含请求IP、时间、访问页面、响应状态等信息
Server log：记录服务器一般日志（启动、关闭、部署应用等），格式为：时间戳、严重程度、子系统、计算机名、服务器名、线程ID
Domain log：记录整个domain的运行情况，包括各server发送到AdminServer的严重错误信息

1.2 Tomcat日志

默认路径：安装目录下的logs文件夹，或在conf/logging.properties中查看

日志类型：

catalina.out：运行中的日志，记录异常错误信息
catalina.Y-M-D.log：Tomcat自身运行日志
localhost.Y-M-D.log：未捕获的异常和JSP页面内部错误
manager.Y-M-D.log：管理日志
localhost_access_log：访问日志（时间、IP地址等）

访问日志配置：查看server.xml文件中的<Valve className="org.apache.catalina.valves.AccessLogValve"配置

1.3 Apache日志

日志类型：

access_log：访问日志，记录所有请求
error_log：错误日志，记录错误处理请求

查找路径：

grep -i "CustomLog" /etc/httpd/conf/httpd.conf  # 访问日志路径
grep -i "ErrorLog" /etc/httpd/conf/httpd.conf  # 错误日志路径

1.4 Nginx日志

日志类型：

access.log：访问日志，记录客户端IP、访问时间、页面等信息
error.log：错误日志

查找路径：查看nginx.conf文件中的配置

1.5 IIS日志

查看方法：在IIS管理器中查看日志文件位置

日志内容：包含访问域名、时间、IP、URL等信息

二、数据库日志收集

2.1 MySQL日志

日志类型：

ErrorLog：记录运行中的Error、Warning、Note等信息
General Query Log：记录所有SQL语句（默认关闭）
Binary Log：二进制日志，描述数据库改动
Slow Query Log：记录慢查询

查看日志状态：

SHOW VARIABLES LIKE 'log_%';

开启General Query Log：

SET GLOBAL general_log = 'ON';
SHOW VARIABLES LIKE 'general%';

2.2 SQL Server日志

查看方法：

在SQL Server Management Studio中展开"管理"
右键"SQL Server日志"选择"查看"

查询信息：

最近启动时间：SELECT sqlserver_start_time FROM sys.dm_os_sys_info;
历史SQL记录：sys.dm_exec_query_stats视图（仅缓存部分执行计划）

审计功能：

可开启审计功能记录所有操作
审计日志存储在Audits指定的路径中

2.3 Oracle日志

日志类型：

重做日志文件(redo log file)：记录数据库操作过程
归档日志文件

审计功能：

默认只记录登录情况
查看审计状态：SHOW PARAMETER audit
审计参数：
- audit_sys_operations：是否审计sys用户操作
- audit_trail：审计记录位置（NONE/DB/OS/DB,Extended）

开启审计：

ALTER SYSTEM SET audit_sys_operations=TRUE SCOPE=spfile;
ALTER SYSTEM SET audit_trail=db,extended SCOPE=spfile;
-- 重启实例生效

三、操作系统日志

3.1 Windows日志

查看方法：运行eventvwr

日志类型：

系统日志(System.evtx)：Windows系统组件记录的事件
安全日志(Security.evtx)：登录尝试和资源使用事件
应用程序日志(Application.evtx)：应用程序记录的事件
转发事件日志(ForwardedEvents.evtx)：从远程计算机收集的事件

路径：%SystemRoot%\System32\Winevt\Logs\

事件ID：可通过微软官方文档查询具体ID对应的操作

3.2 Linux日志

主要日志文件：

/var/log/messages：内核和应用公共日志
/var/log/cron：计划任务日志
/var/log/dmesg：系统引导事件
/var/log/maillog：邮件活动
/var/log/lastlog：最近登录事件
/var/log/rpmpkgs：安装的rpm包列表
/var/log/secure：用户认证过程事件（最常用）
/var/log/wtmp：用户登录、注销及系统启停事件
/var/log/utmp：当前登录用户详细信息

查看命令：

last：查看wtmp日志（二进制）
w/who：查看utmp日志
lastlog：显示所有用户最近登录信息

安全日志分析：/var/log/secure记录SSH、FTP等服务的登录尝试，可用于检测暴力破解

四、日志分析要点

时间戳分析：确定攻击发生的时间范围
异常IP地址：识别可疑的源IP
错误消息：关注高严重级别的错误
用户活动：检查异常用户登录和操作
服务状态：关注服务的异常启动/停止
文件操作：记录关键文件的创建、修改和删除

五、日志收集最佳实践

确保关键日志功能已开启
定期备份日志文件
设置适当的日志保留策略
集中收集和分析日志
对敏感日志进行保护
建立日志监控告警机制

通过系统化的日志收集和分析，可以大大提高安全事件的响应速度和调查效率。

应急响应中常用的日志收集方法一、中间件日志收集 1.1 WebLogic日志 WebLogic默认开启日志记录功能，包含三种日志类型： WebLogic 9及以后版本路径： Access log: $MW_HOME\user_projects\domains\<domain_name>\servers\<server_name>\logs\access.log Server log: $MW_HOME\user_projects\domains\<domain_name>\servers\<server_name>\logs\<server_name>.log Domain log: $MW_HOME\user_projects\domains\<domain_name>\servers\<AdminServer_name>\logs\<domain_name>.log WebLogic 8.x版本路径： Access log: $MW_HOME\user_projects\domains\<domain_name>\<server_name>\access.log Server log: $MW_HOME\user_projects\domains\<domain_name>\<server_name>.log Domain log: $MW_HOME\user_projects\domains\<domain_name>.log 日志内容分析： Access.log：记录HTTP请求，包含请求IP、时间、访问页面、响应状态等信息 Server log：记录服务器一般日志（启动、关闭、部署应用等），格式为：时间戳、严重程度、子系统、计算机名、服务器名、线程ID Domain log：记录整个domain的运行情况，包括各server发送到AdminServer的严重错误信息 1.2 Tomcat日志默认路径：安装目录下的logs文件夹，或在conf/logging.properties中查看日志类型： catalina.out：运行中的日志，记录异常错误信息 catalina.Y-M-D.log：Tomcat自身运行日志 localhost.Y-M-D.log：未捕获的异常和JSP页面内部错误 manager.Y-M-D.log：管理日志 localhost_ access_ log：访问日志（时间、IP地址等）访问日志配置：查看server.xml文件中的 <Valve className="org.apache.catalina.valves.AccessLogValve" 配置 1.3 Apache日志日志类型： access_ log：访问日志，记录所有请求 error_ log：错误日志，记录错误处理请求查找路径： 1.4 Nginx日志日志类型： access.log：访问日志，记录客户端IP、访问时间、页面等信息 error.log：错误日志查找路径：查看nginx.conf文件中的配置 1.5 IIS日志查看方法：在IIS管理器中查看日志文件位置日志内容：包含访问域名、时间、IP、URL等信息二、数据库日志收集 2.1 MySQL日志日志类型： ErrorLog：记录运行中的Error、Warning、Note等信息 General Query Log：记录所有SQL语句（默认关闭） Binary Log：二进制日志，描述数据库改动 Slow Query Log：记录慢查询查看日志状态：开启General Query Log ： 2.2 SQL Server日志查看方法：在SQL Server Management Studio中展开"管理" 右键"SQL Server日志"选择"查看" 查询信息：最近启动时间： SELECT sqlserver_start_time FROM sys.dm_os_sys_info; 历史SQL记录： sys.dm_exec_query_stats 视图（仅缓存部分执行计划）审计功能：可开启审计功能记录所有操作审计日志存储在Audits指定的路径中 2.3 Oracle日志日志类型：重做日志文件(redo log file)：记录数据库操作过程归档日志文件审计功能：默认只记录登录情况查看审计状态： SHOW PARAMETER audit 审计参数： audit_sys_operations ：是否审计sys用户操作 audit_trail ：审计记录位置（NONE/DB/OS/DB,Extended）开启审计：三、操作系统日志 3.1 Windows日志查看方法：运行 eventvwr 日志类型：系统日志(System.evtx)：Windows系统组件记录的事件安全日志(Security.evtx)：登录尝试和资源使用事件应用程序日志(Application.evtx)：应用程序记录的事件转发事件日志(ForwardedEvents.evtx)：从远程计算机收集的事件路径： %SystemRoot%\System32\Winevt\Logs\ 事件ID ：可通过微软官方文档查询具体ID对应的操作 3.2 Linux日志主要日志文件： /var/log/messages ：内核和应用公共日志 /var/log/cron ：计划任务日志 /var/log/dmesg ：系统引导事件 /var/log/maillog ：邮件活动 /var/log/lastlog ：最近登录事件 /var/log/rpmpkgs ：安装的rpm包列表 /var/log/secure ：用户认证过程事件（最常用） /var/log/wtmp ：用户登录、注销及系统启停事件 /var/log/utmp ：当前登录用户详细信息查看命令： last ：查看wtmp日志（二进制） w / who ：查看utmp日志 lastlog ：显示所有用户最近登录信息安全日志分析： /var/log/secure 记录SSH、FTP等服务的登录尝试，可用于检测暴力破解四、日志分析要点时间戳分析：确定攻击发生的时间范围异常IP地址：识别可疑的源IP 错误消息：关注高严重级别的错误用户活动：检查异常用户登录和操作服务状态：关注服务的异常启动/停止文件操作：记录关键文件的创建、修改和删除五、日志收集最佳实践确保关键日志功能已开启定期备份日志文件设置适当的日志保留策略集中收集和分析日志对敏感日志进行保护建立日志监控告警机制通过系统化的日志收集和分析，可以大大提高安全事件的响应速度和调查效率。