網站伺服器被入侵後的日誌查詢與分析

當windows伺服器遭到入侵時，在執行過程中經常需要檢索和深入分析相應的安全日誌。除安全防護裝置外，系統軟體內建系統日誌是調查取證的關鍵材料，但此類系統日誌數量非常龐大，須要對windows安全日誌開展合理深入分析，以獲取我們需要的有用資訊，這一點尤為重要。本文詳細介紹了windows的系統日誌種類，儲存具體位置，檢索方式，以及使用工具的方便檢索。

系統日誌資訊在windows系統軟體執行過程中會不斷地被記錄，依據記錄的種類能夠分成系統日誌、IIS系統日誌、ftp客戶端系統日誌、資料庫系統日誌、郵件服務系統日誌等。活動記錄，WindowsEventLog檔案實際上是以一種特殊的資料結構儲存內容，包含關於系統軟體、安全性、應用軟體的記錄。在每一個記錄事件的資料結構中包含9個要素(這能夠理解為資料庫中的欄位)：日期/時間、事件種類、使用者、計算機、事件ID、源、類別、說明、資料等等。操作員能夠透過系統日誌調查取證，瞭解到計算機中發生的具體行為。

啟動-執行，鍵入bindvwr.msc點開事件檢視器來查詢系統日誌。您能夠看到，事件檢視器將系統日誌分成兩大類：windows系統日誌、應用軟體系統日誌和服務系統日誌，其中還有一些種類的事件，如應用軟體、安全性、setup、系統軟體、forwardedevent。下面分別開展詳細介紹：

活動種類

應用軟體系統日誌。

包含應用軟體或系統軟體程式記錄的事件，主要是記錄程式執行層面的事件，例如資料庫程式能夠記錄應用軟體系統日誌中的檔案不正確，軟體開發人員能夠自己選擇要監視哪些事件。當一個應用軟體癱瘓時，我們可以從程式系統日誌中找到對應的記錄，這可能對解決問題有所幫助。

預設目錄位置：%SystemRoot%\系統軟體32\Winevt\登入\應用軟體.evtx。

·系統日誌。

由作業系統元件發生的事件記錄，具體包含驅動軟體癱瘓、系統軟體元件和應用軟體癱瘓以及資料丟失不正確等。WindowsNT/2000作業系統預先定義了系統日誌中記錄的時間種類。

預設目錄位置：%SystemRoot%\System32\Winevt\登入\系統軟體.evtx

·安全記錄

包含應用軟體或系統軟體程式記錄的事件，主要是記錄程式執行層面的事件，例如資料庫程式能夠記錄應用軟體系統日誌中的檔案不正確，軟體開發人員能夠自己選擇要監視哪些事件。當一個應用軟體癱瘓時，我們可以從程式系統日誌中找到對應的記錄，這可能會幫助您解決問題。

溯源日誌排查總結：首先確認下網站被入侵後篡改檔案的修改時間，然後檢視下網站日誌檔案中對應時間點有無POST的日誌URL，然後篩選出來查下此IP所有的日誌就能確定是否是攻擊者，如果伺服器被入侵的話可以查詢系統日誌看下最近時間的登入日誌，以及有無增加預設管理員使用者之類的，如果想要更詳細的查詢是如何被入侵的話可以尋求網站安全公司的幫助，推薦SINESAFE,鷹盾安全，綠盟，啟明星辰，大樹安全等等這些都是很不錯的網站安全公司。