windows系统日志
windows系统日志:命令eventvwr.exe查看
日志缺失的危害
不记录可审计的事件,例如登录、失败登录和高价值交易。
警告和错误不会生成、不充分或不清楚的日志消息。
不会监控应用程序和API的日志是否存在可疑活动。
日志仅存储在本地。
适当的警报阈值和响应升级流程没有到位或有效。
动态应用程序安全测试工具(例如OWASP ZAP)的渗透测试和扫描不会触发警报。
应用程序无法实时或接近实时地检测、升级或警告主动攻击。
Apache日志服务器
Apache日志记录服务:
日志在 /usr/local/apche2.4/logs下面
详情包括:来源IP,时间,行为,访问的域名,http版本,状态码
许多系统启用网络设备、操作记录、Web服务器、邮件服务器和数据库服务器日志记录。
Web应用程序日志记录远不止启用Web服务器日志。
应用程序日志
应用程序日志记录应始终包含在安全事件中。应用程序日志是以下方面呃宝贵数据:
识别安全事件
监控违规行为
建立基线
协助不可否认性控制(注意,日志难以实现不可否认性特征,因为它们的可信度通常仅基于正确审核的日志记录方,而数字签名等机制在这里难以使用)
提供有关问题和异常情况的信息
为时间调查提供其他特定与应用程序的其他日志源中缺乏的数据
通过攻击检测帮助防御漏洞识别和利用
应用程序日志也可用于记录其他类型的事件,例如:
安全事件
业务流程监控,例如销售流程放弃、交易、连接
反自动化监控
审计跟踪,例如数据添加、修改和删除、数据导出
性能监控,例如数据加载时间、页面超时
合规监控
用于后续信息请求的数据,例如数据主体访问、信息自由、诉讼、警察和其他监管调查
法律认可的数据拦截,例如应用层窃听
其他业务特定要求
