var-log-secure: 记录认证相关的事件,如用户登录成功/失败、sudo 命令执行等 var-log-auth.log: 与 secure 类似,也记录认证相关的事件。 var-log-audit-audit.log:Linux 安全审计子系统 (auditd) 生成的审计日志,记录系统级别的安全事件。 var-log-cron:记录定时任务的运行信息。
我整理了这些,还有其他的师傅们推荐一下,可以尽量全面一点
1
GeorgeWai 5 天前
audit 有各种规则需要设定过,然后可以获取 ssh 登录信息,文件各种属性被修改的信息; linux 一切皆文件,只需要把需要关注的目录路径设定后,辅以 audit 规则就可以完成一切监控。再底层的就需要使用 ebpf 这种模式去跟踪了,那是另外一回事了。
|
2
XDiLa 5 天前
看起来基本都是 27001 问你要的数据 都是很正常简单的
|
3
bthulu 5 天前
按事件来记录, 永远会有新的程序新的事件新的命令出现, 每次出现了就要适配, 累不死你.
听我的, 直接每秒生成一次磁盘快照上传到 git 就行了. git 直接就可以对比前后两次文件差异, 就知道干了啥了. |
6
cnevil 5 天前
不只上面提到的这些哦,你可以问下负责安全的同事,/var/log 里那些系统日志只是一部分,其他各种中间件的日志也是需要的,nginxapache 啊数据库啊等等等等
要这些日志的目的就在于发生安全事件了可以能更方便的对攻击链进行还原,比如攻击者通过什么途径进来的,访问了哪些东西,执行了什么命令,避免出现服务器日志被攻击者清了或者保存时间不够等这些没法继续排查的情况出现。要是对方也不知道都要什么日志的话你就从这个角度考虑就好了,毕竟我们也不知道你都有什么 |
7
mingtdlb 4 天前
他们要采集数据,采集哪些不应该是他们为准 告诉你要哪些?
|