《操作系統(tǒng)安全加固》 課件 模塊4 日志管理

日志管理日志查看課前準備觀看視頻，學習Windows和Linux日志查看方法;Windows和Linux日志查看方式情境導入公司依據(jù)網(wǎng)絡等級保護三級對于日志管理的要求：“應詳細記錄運維操作日志，包括日常巡檢工作、運行維護記錄、參數(shù)的設置和修改等內(nèi)容”。為了記錄和查看企業(yè)用戶操作系統(tǒng)的日志，除了行政管理要求外，管理員還需要通過技術(shù)手段進行系統(tǒng)操作日志的記錄和查看，從而及時發(fā)現(xiàn)可能存在的異常情況，做好系統(tǒng)的安全防護工作。情境導入-教師基于課前自測情況開展評價活動教師基于課前自測情況開展活動教師展示學生預習自測題情況教師就測試結(jié)果完成課前評價1.使用事件查看器查看Windows系統(tǒng)日志、安全日志和應用程序日志；2.使用相關的文件查看命令，查看Linux系統(tǒng)日志、登錄日志。根據(jù)安全管理要求，提出任務：教學活動一：使用事件查看器查看Windows日志為此，管理員需要完成以下運維工作：教學活動一：使用事件查看器查看Windows日志如何讓Windows系統(tǒng)記錄系統(tǒng)和安全日志？教師點評，組織學生互評教學活動一：使用事件查看器查看Windows日志步驟01任務步驟啟動審核策略；步驟02查看用戶登錄事件；步驟03查看日志服務事件。教學活動一：使用事件查看器查看Windows日志任務初探下發(fā)任務單（課中資料）下發(fā)操作視頻學生開展活動一實訓教師評價學生小組完成任務情況教學活動一：使用事件查看器查看Windows日志教師點評活動一實訓環(huán)節(jié)（參與度、完成情況）提出教學KR1目標10分鐘內(nèi)完成Windows中使用eventvwr.msc工具查看日志的任務01學生再次練習完成KR1指標02教師點評KR1活動達標率教學活動二：使用命令查看Linux系統(tǒng)日志根據(jù)等級保護的日志管理要求，管理員需要定期對Linux系統(tǒng)登錄日志進行查看，從而及時發(fā)現(xiàn)系統(tǒng)可能存在的安全風險，進行相關預防和安全加固工作。提出活動內(nèi)容Linux系統(tǒng)日志服務的設置文件的核心內(nèi)容有哪些？教學活動二：使用命令查看Linux系統(tǒng)日志小結(jié)1討論小結(jié)tail/var/log/secure查看認證事件；小結(jié)2last命令查看用戶登錄、注銷等事件；小結(jié)3sudocat/var/log/dmesg命令查看系統(tǒng)啟動的日志信息。教師點評，組織學生自評、互評教學活動二：使用命令查看Linux系統(tǒng)日志步驟01任務步驟使用tail命令查看用戶認證相關的安全事件信息；步驟02使用last命令查看用戶登錄、注銷等事件；步驟03使用cat命令查看系統(tǒng)啟動的日志信息。組織學生觀看操作錄屏，分小組討論任務步驟教學活動二：使用命令查看Linux系統(tǒng)日志步驟01任務步驟查看日志設置文件；步驟02查看用戶認證事件；教師點評，組織學生自評、互評查看用戶登錄、注銷事件；查看系統(tǒng)引導信息。步驟03步驟04教學活動二：使用命令查看Linux系統(tǒng)日志任務初探下發(fā)任務單（課中資料）下發(fā)操作視頻，根據(jù)視頻完成任務學生開展活動二實訓教師評價學生小組完成任務情況教學活動二：使用命令查看Linux系統(tǒng)日志教師點評活動二實訓環(huán)節(jié)（參與度、完成情況）提出教學KR2目標15分鐘內(nèi)按要求使用命令完成系統(tǒng)用戶認證、用戶登錄、注銷、系統(tǒng)引導日志的查看01學生再次練習完成KR2指標02教師點評KR2活動達標率課堂總結(jié)學習要點使用事件查看器查看Windows日志使用命令查看Linux系統(tǒng)日志思政要點網(wǎng)絡安全法要求企業(yè)要按等保要求，安全個體要有安全意識；企業(yè)的安全要實施管理與技術(shù)都要有要求，才能實現(xiàn)安全基本要求。課后作業(yè)思考與練習實訓：在Windows10客戶端遠程登錄WindowsServer2019，以管理員身份運行eventvwr.msc程序，查看安全日志中遠程用戶登錄事件。謝謝觀看自己動手練習練習吧!日志管理日志過濾課前準備1.觀看視頻，學習Windows和Linux日志過濾方法。Windows日志過濾方法Linux日志過濾方法情境導入公司依據(jù)網(wǎng)絡等級保護三級對于日志管理的要求：“應詳細記錄運維操作日志，包括日常巡檢工作、運行維護記錄、參數(shù)的設置和修改等內(nèi)容”。為了精準查看企業(yè)用戶操作系統(tǒng)日志，管理員需要通過過濾技術(shù)進行系統(tǒng)操作日志篩選，從而及時發(fā)現(xiàn)可能存在的異常情況，做好系統(tǒng)的安全防護工作。根據(jù)預習資料，思考請例舉:如何使用事件查看器工具查看Windows安全日志？情境導入-教師基于問題及課前自測情況開展評價活動學生回答教師提出的問題教師基于問題及課前自測情況開展活動教師對學生的回答結(jié)果進行分類概括教師展示學生預習自測題情況教師就提出的問題及測試結(jié)果完成課前評價1.

使用事件查看器工具查看Windows安全日志；2.

使用事件查看器工具過濾特定的事件ID。根據(jù)安全管理要求，提出任務教學活動一：在給出的Windows安全日志中找出所需的日志為此，管理員需要完成以下運維工作：分析任務開展討論，明確任務要求和任務目的：1.了解Windows安全日志的特定事件ID提問、設疑：如何使用事件查看器工具查看Windows安全日志？組織討論與展示，教師點評、組織學生互評教學活動一：在給出的Windows安全日志中找出所需的日志步驟01任務步驟打開事件查看器并查看windows安全日志。步驟02在安全日志操作窗口輸入事件ID：4720，查看創(chuàng)建用戶成功情況。步驟03選擇事件屬性命令查看事件ID：4720屬性。步驟04在安全日志操作窗口輸入事件ID：4726，查看刪除用戶成功情況。步驟05選擇事件屬性命令查看事件ID：4726屬性。教學活動一：在給出的Windows安全日志中找出所需的日志任務初探.下發(fā)操作視頻巡視指導學生、解答疑惑組織學生演示分享教學活動一：在給出的Windows安全日志中找出所需的日志學生根據(jù)操作視頻，討論完成任務教師點評（學生參與度、任務完成情況）、組織學生互評教師評價學生練習、點評實戰(zhàn)結(jié)果提出教學KR指標110分鐘內(nèi)完成Windows中使用事件查看器工具過濾特定的事件ID的任務01學生再次練習完成KR指標102教師點評展示學生的KR1活動達標率情況教學活動一：在給出的Windows安全日志中找出所需的日志根據(jù)等級保護的日志管理要求教學活動二：使用grep或egrep命令從給定的Linux日志中找出所需的日志管理員需要定期對Linux系統(tǒng)登錄日志進行過濾，從而及時發(fā)現(xiàn)系統(tǒng)可能存在的安全風險，進行相關預防和安全加固工作。組織討論討論Linux系統(tǒng)日志過濾方法。設問：Linux系統(tǒng)內(nèi)安全日志與系統(tǒng)日志的路徑分別是什么？分小組展示討論的結(jié)果小結(jié)小組討論教學活動二：使用grep或egrep命令從給定的Linux日志中找出所需的日志grep命令的用法、參數(shù)和示例.egrep命令的用法、參數(shù)和示例。教師點評、組織學生互評步驟01任務步驟使用grep相關命令，過濾出linux安全日志內(nèi)指定日期的內(nèi)容。步驟02使用grep相關命令，過濾出linux系統(tǒng)日志內(nèi)帶“info”的日志內(nèi)容。分析任務：根據(jù)任務要求，討論任務完成步驟教學活動二：使用grep或egrep命令從給定的Linux日志中找出所需的日志小結(jié)任務步驟教學活動二：使用grep或egrep命令從給定的Linux日志中找出所需的日志過濾并分析安全日志內(nèi)的各項日志內(nèi)容；過濾并分析系統(tǒng)日志內(nèi)的各項日志內(nèi)容。教師點評、組織學生互評任務初探任務單巡視指導學生、解答疑惑教學活動二：使用grep或egrep命令從給定的Linux日志中找出所需的日志教師點評、組織學生互評完成任務教師對學生的交流合作情況進行評價提出教學KR2指標15分鐘內(nèi)完成活動相關域用戶賬戶和組的創(chuàng)建01學生再次練習完成KR2指標02教師點評展示學生的KR2活動達標率情況教學活動二：使用grep或egrep命令從給定的Linux日志中找出所需的日志課堂總結(jié)學習要點在給出的Windows安全日志中找出所需的日志使用grep或egrep命令從給定的Linux日志中找出所需的日志思政要點網(wǎng)絡安全法要求企業(yè)要按等保要求，安全個體要有安全意識企業(yè)的安全要實施管理與技術(shù)都要有要求，才能實現(xiàn)安全基本要求課后作業(yè)實訓：在linux系統(tǒng)內(nèi)使用egrep命令過濾關鍵字為“info”的message日志文件并分析。謝謝觀看自己動手練習練習吧!日志管理日志導出課前準備1.觀看視頻，了解Windows日志的導出方法。2.基于資料了解linux日志服務器的搭建配置方法。Windows日志的導出方法linux日志服務器的搭建配置方法情境導入日志對于安全來說，非常重要，他記錄了系統(tǒng)每天發(fā)生的各種各樣的事情，你可以通過他來檢查錯誤發(fā)生的原因，或者受到攻擊時攻擊者留下的痕跡。日志主要的功能有：審計和監(jiān)測。他還可以實時的監(jiān)測系統(tǒng)狀態(tài)，監(jiān)測和追蹤侵入者等等。因此基于Windows服務器，要求掌握導出日志的方法；基于Linux服務器，掌握日志服務器的搭建以及客戶機與服務器的關聯(lián)方法。根據(jù)預習資料，思考請例舉:服務器發(fā)現(xiàn)異常時，要怎么導出日志和并對日志做出審計？情境導入-教師基于問題及課前自測情況開展評價活動學生回答教師提出的問題教師基于問題及課前自測情況開展活動教師對學生的回答結(jié)果進行分類概括教師展示學生預習自測題情況教師就提出的問題及測試結(jié)果完成課前評價根據(jù)安全管理要求，提出任務教學活動一：導出Windows系統(tǒng)及安全日志公司的WINDOWS服務器前天晚上突然服務有所異常，現(xiàn)經(jīng)安全運維人員需要將安全日志和系統(tǒng)日志導出，并進行日志審計，請完成日志導出工作。分析任務開展討論，明確任務要求和任務目的：1.導出系統(tǒng)日志；2.導出安全日志。組織討論與展示，教師點評、組織學生互評步驟01任務步驟進入事件查看器的Windows日志進行分類日志導出。教學活動一：導出Windows系統(tǒng)及安全日志任務初探下發(fā)操作視頻巡視指導學生、解答疑惑組織學生演示分享教學活動一：導出Windows系統(tǒng)及安全日志學生根據(jù)操作視頻，討論完成任務教師點評（學生參與度、任務完成情況）、組織學生互評教師評價學生練習、點評實戰(zhàn)結(jié)果提出教學KR指標110分鐘內(nèi)完成任務要求01學生再次練習完成KR指標102教師點評展示學生的KR1活動達標率情況教學活動一：導出Windows系統(tǒng)及安全日志任務場景教學活動二：搭建Linux日志服務器公司要求搭建一個簡單的Linux日志服務器，將日志實時傳送到一個更加安全的遠端服務器上，實現(xiàn)日志的集中、統(tǒng)一式管理。提出任務1）配置Linux日志服務器，統(tǒng)一收集日志。2）其他客戶機將日志發(fā)送到日志服務器。組織討論教學活動二：搭建Linux日志服務器討論以下問題：日志服務器的日志配置文件應該修改哪些點？客戶機怎樣和日志服務器進行聯(lián)動，把本機日志發(fā)送到日志服務器？組織分小組展示討論小結(jié)學生討論教學活動二：搭建Linux日志服務器服務器需要設定接受協(xié)議并指定端口號客戶端需要指定日志傳送目的服務器地址和協(xié)議方式，以及日志類型配置文件修改后需要重啟服務教師點評、組織學生互評步驟01任務步驟配置Linux日志服務器的日志配置文件。步驟02配置客戶機的日志配置文件。步驟03驗證客戶機日志的去向。教學活動二：搭建Linux日志服務器教學活動二：搭建Linux日志服務器任務初探任務單巡視指導學生、解答疑惑教師點評、組織學生互評完成任務教學活動二：搭建Linux日志服務器教師對學生的交流合作情況進行評價提出教學KR2指標10分鐘內(nèi)按要求完成任務二操作01學生再次練習完成KR指標202教師點評展示學生的KR2活動達標率情況課堂總結(jié)學習要點導出Windows系統(tǒng)及安全日志搭建Linux日志服務器思政要點網(wǎng)絡安全法要求企業(yè)要按等保要求，安全個體要有安全意識企業(yè)的安全要實施管理與技術(shù)都要有要求，才能實現(xiàn)安全基本要求課后作業(yè)思考與練習請簡述Windows系統(tǒng)中有哪些類型的日志？關于Linux日志服務器，思考怎樣對日志進行分類？日志分類基于哪些屬性？Linux日志服務器默認是不接收遠端日志的，請寫出如何配置才能接收遠端發(fā)來的日志？謝謝觀看自己動手練習練習吧!日志管理日志排查課前準備1.回顧日志的操作；2.觀看日志分析案例。

日志的操作日志分析案例

情境導入公司依據(jù)網(wǎng)絡等級保護三級對于日志管理的要求：“應詳細記錄運維操作日志，包括日常巡檢工作、運行維護記錄、參數(shù)的設置和修改等內(nèi)容”。為了記錄和查看企業(yè)用戶操作系統(tǒng)的日志，除了行政管理要求外，管理員還需要掌握對系統(tǒng)日志審計操作，從而及時發(fā)現(xiàn)可能存在的異常情況，做好系統(tǒng)的安全防護工作。為此，公司管理員需要完成以下運維工作：排查Windows日志；排查Linux日志。情境導入-教師基于課前自測情況開展評價活動教師基于課前自測情況開展活動教師展示學生預習自測題情況教師就測試結(jié)果完成課前評價1.攻擊者是用什么手段進行滲透入侵？2.分析一下攻擊者，用什么方式登錄到當前主機的。3.登錄后做了什么？根據(jù)安全管理要求，提出任務：教學活動一：排查Windows系統(tǒng)日志公司的WINDOWS服務器前天晚上突然服務有所異常，現(xiàn)經(jīng)安全運維人員緊急處理，將服務器斷網(wǎng)后，經(jīng)過仔細排查，發(fā)現(xiàn)有帳號的登錄，將服務器的日志已經(jīng)導出帶回?，F(xiàn)要求安全技術(shù)人員對系統(tǒng)日志進行審計，要求如下：教學活動一：排查Windows系統(tǒng)日志要找出惡意者做了什么，分析日志的步驟是什么？對于一份日志，我們應該是按怎么步驟進行分析？教師點評、組織學生互評教學活動一：排查Windows系統(tǒng)日志步驟01任務步驟先初步瀏覽，發(fā)現(xiàn)不同的日志區(qū)間；步驟02篩選可疑事件ID；步驟03確定可疑事件ID出現(xiàn)的時間段；步驟04按照最后的時間段，繼續(xù)向下排查；步驟05定位異常事件。教學活動一：排查Windows系統(tǒng)日志任務初探下發(fā)任務單（課中資料）下發(fā)操作視頻學生開展活動一實訓教師點評任務完成情況教學活動一：排查Windows系統(tǒng)日志教師點評活動一實訓環(huán)節(jié)（參與度、完成情況）提出教學KR1目標10分鐘內(nèi)完成任務要求01學生再次練習完成KR1指標02教師點評KR1活動達標率教學活動二：排查Linux日志公司的Linux服務器又到規(guī)定的運維時間，日志已經(jīng)下載到本地，要求安全技術(shù)人員進本地Linux系統(tǒng)上對日志進行排查：提出活動內(nèi)容Linux下可以用什么命令？Linux下的日志排查的步驟是什么？教學活動二：排查Linux日志小結(jié)1討論小結(jié)Linux下可以使用sort,uniq,grep,awk等命令結(jié)合過濾與統(tǒng)計日志中的信息；小結(jié)2Linux下的日志排查的步驟與Windows是一樣的（先粗后細）。教師點評，組織學生自評、互評設定共享權(quán)限的原則：教學活動二：排查Linux日志步驟01任務步驟將實訓的testlog.tar.gz日志文件在Linux系統(tǒng)中解包；步驟02按要求排查日志，找出最后一次root的登錄時間、從什么地方登錄；步驟03排查相關日志，找出最后一次網(wǎng)絡登錄的來源IP是什么；