第9章 管理日志(网络安全防御实战--蓝军武器库)
网络安全话题下的优秀答主
10 人赞同了该文章
网络安全防御实战--蓝军武器库是2020年出版的,已经过去3年时间了,最近利用闲暇时间,抓紧吸收,总的来说,第9章开始学习windows事件日志和syslog管理日志,在当前流行的SIEM安全大数据产品中,syslog对接日志是一种经典的解决方案(另一种方案是kafka),我在本文中演示了如何将windows事件日志发送到syslog日志管理平台,轻松又有趣~
ailx10
网络安全优秀回答者
互联网行业 安全攻防员
去咨询
1、windows事件查看器(主要关注:系统日志,安全日志,应用系统日志)
(1)输入eventvwr 进入windows事件查看器
(2)查看安全事件日志(可以看见大量登录事件)
2、powershell(命令行功能强大,并且可以实现远程管理)
(1)获取本地计算机上的事件日志列表
(2)获取本地计算机上的系统日志
3、baretail(一款监视日志的GUI小工具,类似tail -f 实时跟踪日志)
4、syslog(网络设备向日志记录服务器发送消息的一种方式,默认是UDP 514端口)
- UDP 514端口
- TCP 1468端口
5、solarwinds kiwi-free-syslog-server 和 event-log-forwarder-for-windows(官网下载免费14天的版本)
(1)solarwinds kiwi-free-syslog-server 安装服务,点击Next 一路到底(它可以接收syslog日志)
(2)solarwinds kiwi-free-syslog-server 会自动安装 .Net 4.8 (我在 win7 系统上演示的)
(3)配置 solarwinds kiwi-free-syslog-server (我这里配置本地ip地址)
(4)event-log-forwarder-for-windows 安装(它可以发送windows事件日志到syslog服务器)
(5)配置 event-log-forwarder-for-windows,点击Add
选择windows事件日志 种类
配置syslog日志
进行syslog日志测试
(6)成功在 solarwinds kiwi-free-syslog-server 中观察到测试日志,syslog日志对接成功
发布于 2023-03-19 17:00・IP 属地江苏