آموزش تصویری:

هر سیستم عاملی دارای لاگ گیری هست به عبارتی ساده تر هر اتفاقی می افته در یک یا چند جا ثبت و ضبط میشه این بخاطر بحث رفع مشکل Tshoot و همچنین مسایل امنیتی بسیار حایز اهمیت هست

مثال ساده در ویندوز event log می باشد   تو ویندوز لاگ

Application

Security

Setup

System

داریم که در بخش امنیت یا همون security تمامی وقایع ورودی به سیستم login logoff و همچنین success login failed login ثبت و ضبط می شود و از اینجا می توجه می شوند که چه کسی با چه ای پی مثلا RDP زده یا سعی در بروت فورس داشته.

وقتی هکر وارد شود بعد از PE اغدام به پاک کردن لاگ های Event viewer می کند نکته ای که هست در سرورهای حساس لاگ ها forward می شوند علاوه بر اینکه در ویندوز نگه داری می شوند.

خوب حالا که دیدی نسبت به ویندوز گرفتیم بریم سراغ لینوکس

در لینوکس rsyslog در واقع همان event viewer ما هست که لاگ ها را دسته بنده حذف آرشیو می کند

find / -iname  “rsyslog” 2>/dev/null

محل قرار گیری کانفیگ فایل اصلی rsyslog

Nano  /etc/rsyslog.conf

در rsyslog برای جدا کردن و تمیز قرار دادن لاگ ها از هم از rule استفاده می کنند مثلا لاگ ورود امنیتی با لاگ کرنل باید فرق بکنه

auth/authpriv Security/authorization messages

cron Clock daemons

daemon Other daemons

kern Kernel messages

lpr Printing system

mail Mail system

user Generic user-level messages

less /var/log/syslog

روی هر لاگ ما یک عنوان زده شده که نشان اهمیت لاگ میده به ترتیب زیر

debug

info

notice

warning

warn

error

err

crit

alert

emerg

panic

لاگ روتیت فرآیند دوره ای و دایمی جهت آرشیو و یا حذف لاگ های قدیمی هست جهت جلوگیری از مصرف هارد دیسک

leafpad /etc/logrotate.conf

وقتی لینوکس سروری هک می شود باید بعد از PE اغدام به توقف سرویس لاگ فایل و حذف لاگ های قدیمی کرد که حمله شناسایی نشود

چطور میشه لاگ ها رو پاک کرد بهترین روش استفاده از shred هست همچنین با لینوکس لایو میشه هارد دیسک ویندوزی shred کرد که منجرب به فرآیند ریکاوری پیچیده ای خواهد شد!

shred –help

shred -f -n 10 /var/log/auth.log.*

نحوه غیر فعال کردن سرویس لاگ

service rsyslog stop