- Вступление
- Почему ведение журнала так важно
- Типы логов и их расположение
- Разбивка записи в журнале
- Журналы событий Windows
- Каналы регистрации событий
- Доступ к журналам Windows
- Ключевые поля события
- Основные идентификаторы событий безопасности Windows
- Sysmon: Расширенное ведение журнала Windows
- Почему Sysmon имеет значение
- Ключевые идентификаторы событий Sysmon
- Заключение
Вступление
В сфере кибербезопасности и ИТ-операций основные принципы ведения журналов составляют основу мониторинга, форензики и реагирования на инциденты.
Журналы ( логи ) содержат записи о системных событиях с отметками времени, помогая командам отслеживать действия пользователей, обнаруживать вторжения, устранять неполадки и соответствовать требованиям соответствия.
Каждое значимое событие, от сбоев приложений до неудачных попыток входа в систему, оставляет за собой след.
Овладение основами ведения журнала позволяет организациям анализировать угрозы, выявлять аномалии и эффективно защищать инфраструктуру.
Почему ведение журнала так важно
Ведение журнала – это не просто запись событий, это понимание поведения системы.
Правильное управление журналом позволяет:
- Форензика: Отслеживание активности злоумышленников по времени, пользователю и системе.
- Реагирование на инциденты: восстановление путей атаки и приоритизация предупреждений.
- Поиск угроз: обнаружение аномалий и подозрительных закономерностей в больших наборах данных.
- Соответствие требованиям: Ведение журнала аудита в соответствии с такими стандартами, как PCI-DSS, HIPAA и GDPR.
📦Как проверить и зарегистрировать вредоносную установку RPM пакета
Без ведения журнала организации теряют представление о том, что происходит в их сетях и приложениях.
Типы логов и их расположение
Журналы создаются в приложениях, операционных системах и сетевых устройствах.
Понимание типов журналов является ключом к мониторингу инфраструктуры.
| Тип журнала | Содержимое | Распространённые места хранения |
|---|---|---|
| Приложение | Ошибки, транзакции, действия пользователей | Windows: C:\ProgramData\logsLinux: /var/log/<app>.log |
| Система | Загрузка драйверов, запуск/сброс служб, ядро | Windows: Просмотр событий → СистемаLinux: /var/log/syslog |
| Безопасность | Аутентификация, авторизация, изменения политики | Windows: Просмотр событий → БезопасностьLinux: /var/log/auth.log |
| Сеть | Трафик межсетевого экрана, роутера, коммутатора | /var/log/ufw.log, архивы устройств |
| Аудит | Мониторинг файлов, процессов, реестра | Linux: /var/log/audit/audit.logWindows: Sysmon/Операционный журнал |
| Веб | Доступ HTTP(S), ошибки, прокси, журналы API | Apache: /var/log/apache2/access.logNginx: /var/log/nginx/access.log |
| DNS | Разрешение запросов, отказы, активность кеша | BIND: /var/log/named.logСервер DNS Windows: Просмотр событий → Сервер DNS |
| Почта | Почтовые транзакции, статус доставки, ошибки | Postfix: /var/log/maillogExchange: Просмотр событий → Приложения |
| База данных | Запросы, транзакции, ошибки, аутентификация | MySQL: /var/log/mysql/error.logPostgreSQL: /var/log/postgresql/postgresql.log |
| Облако | Вызовы API, аутентификация, использование ресурсов | AWS CloudTrail: корзины S3Azure Monitor, GCP Cloud Logging |
| IDS/IPS | Оповещения о вторжениях, анализ пакетов | Snort: /var/log/snort/Suricata: /var/log/suricata/ |
| Контейнер | Выполнение контейнеров, события оркестрации | Docker: /var/lib/docker/containers/<id>/json.logKubernetes: kubectl logs <pod> |
Разбивка записи в журнале
| Поле | Описание | Пример |
|---|---|---|
| Метка времени | Указывает, когда произошло событие. Критично для корреляции журналов между несколькими системами. | 2025-09-11T15:42:18.674Z |
| Источник | Идентифицирует источник журнала, например, имя хоста, IP-адрес или облачный регион. | host=AlphaServer.local |
| Уровень | Показывает серьезность события. Помогает расставлять приоритеты предупреждений и реакций. | ERROR |
| Компонент | Конкретизирует приложение, модуль или службу, создавшую запись журнала. | component=auth-service |
| Сообщение | Полезная нагрузка события. Может представлять собой свободный текст, структурированный JSON или пары ключ-значение. | {“user”:”emma_smith”,”action”:”login”,”status”:”failed”,”ip”:”203.0.113.52″} |
Журналы событий Windows
Windows предоставляет надежную систему регистрации событий, которая классифицирует события по нескольким каналам.
Каналы регистрации событий
- Приложение: записывает события, относящиеся к конкретному приложению.
- Безопасность: Отслеживает попытки входа в систему, доступ к ресурсам и изменения политики.
- Настройка: Фиксирует события настройки приложений и установки Windows.
- Система: Регистрирует события из системных компонентов, таких как драйверы.
- Перенаправленные события: Собирает события из удаленных систем.
Доступ к журналам Windows
- Средство просмотра событий (GUI) → Простая визуализация.
- Wevtutil.exe (CLI) → Доступ из командной строки.
- Get-WinEvent (PowerShell) → Гибкие запросы для автоматизации.
Ключевые поля события
- Имя журнала (например, Security)
- Источник (например, Microsoft-Windows-Security-Auditing)
- Идентификатор события (уникальный идентификатор типа 4625 для неудачного входа в систему).
- Уровень (Информация, Предупреждение, ошибка, Критический)
- Идентификаторы пользователя, компьютера и корреляции
- Данные / описание события
Основные идентификаторы событий безопасности Windows
Некоторые идентификаторы событий важны для мониторинга безопасности и правил корреляции SIEM.
| Идентификатор события | Описание | Случаи использования |
|---|---|---|
| 4624 | Успешная регистрация | Отслеживать действительную аутентификацию |
| 4625 | Неудачная регистрация | Обнаруживать атаки методом подбора пароля |
| 4672 | Регистрация привилегированного пользователя | Выявлять деятельность с высокими привилегиями |
| 4720 | Создание учётной записи пользователя | Обнаруживать несанкционированное создание аккаунтов |
| 4726 | Удаление учётной записи пользователя | Обнаруживать попытки скрыть аккаунт |
| 4688 | Создание процесса | Отслеживать вредоносные или подозрительные процессы |
| 4697 | Установка службы | Обнаруживать механизмы постоянства |
| 5140 | Доступ к сетевым ресурсам | Контролировать доступ к конфиденциальным файлам |
Sysmon: Расширенное ведение журнала Windows
Sysmon (System Monitor) является частью Microsoft Sysinternals.
Он расширяет встроенное ведение журнала, добавляя подробные сведения о процессах, сетевых и файловых операциях.
Почему Sysmon имеет значение
- Отслеживает создание процессов с помощью командной строки.
- Регистрирует сетевые подключения с указанием IP-адресов и портов.
- Отслеживает создание файлов, изменения реестра и драйверов.
- Предоставляет ценные данные для поиска угроз и криминалистической экспертизы.
Ключевые идентификаторы событий Sysmon
- Идентификатор события 1: Создание процесса (с помощью командной строки).
- Идентификатор события 3: Сетевое подключение (IP-адреса источника/назначения, порты).
- Идентификатор события 7: Загруженный образ (библиотеки DLL, библиотеки библиотек).
- Идентификатор события 11: Создание файла (отслеживает механизмы сохранения).
Sysmon необходим для продвинутой разработки систем обнаружения и легко работает с платформами SIEM.
Заключение
Основные принципы ведения журнала обеспечивают видимость, обнаружение и соблюдение требований в области кибербезопасности.
От базовых системных журналов до расширенного мониторинга с помощью идентификаторов событий Windows и Sysmon Эффективное ведение журнала помогает организациям опережать злоумышленников, усиливать реагирование на инциденты и выполнять нормативные требования.
В условиях современных угроз логи – это не просто записи, это важнейшая информация для служб безопасности.
Освоив основы ведения журнала, предприятия могут обеспечить устойчивость, подотчетность и проактивную защиту.
см. также:
- 🐳 Самоучитель по логированию контейнеров Docker для начинающих
- 🌐 Аудит логов при форензике
- 🛡️ Как просканировать и устранить уязвимость Log4j?
- 🐧 Руководство для начинающих по системным логам в системах Linux
- 10 сборщиков логов с открытым исходным кодом для централизованного ведения журнала
