1.windows

系统日志System.evtx:记录系统中硬件、软件和系统问题的信息，用户可以通过它来检查错误发生的原因或者寻找受到攻击时攻击者留下的痕迹

C:\Windows\System32\winevt\Logs\System.evtx

应用程序日志Application.evtx：记录程序在运行过程中的日志信息

..\Application.evtx

安全日志Security.evtx：登录日志、对象访问日志、进程追踪日志、特权使用、账号管理、策略变更、系统事件。

..\Security.evtx

日志审计策略功能

win+R—>gpedit.msc

打开系统日志

win+R—>eventvwr

事件日志分析

日志清除记录——ID：1102

清空安全日志（需要有System权限）
通过cmd清除：
win+R—>wevtutil cl “logname（日志名）”
·出站入站记录——ID：5156、5158

远程连接：

win+R—>mstsc
每一对5156和5158的事件间隔为５ｓ，这是载荷的定时回连操作，目的是keep alive 和get task

·账户管理记录——ID：4720（可以查找到创建的用户，隐藏的用户也可以查找到）、4726（可以查找到删除的用户）

添加隐藏用户:net user attack$ Aa123456 /add
删除隐藏用户:net user attack$ /del
创建用户组：net logalgroup group1 /add
查看用户组: net user
·安全组管理记录——ID：4732（查看创建的用户加入了哪个组）、4733（查看用户从哪个组中被移除了）

·账户行为记录——ID：4624、4634、4625

4624：用户登录
4634：用户注销
4625：登录失败

·凭证验证记录——ID：4776

凭证验证是指，当你要去访问目标主机的FTP、Samba服务时，目标主机会发起验证请求，要求你输入用户名和密码。日志会详细的记录登录者的工作站、登录账户信息。

·计划任务事件——ID：4698、4699、4700、4701、4702

在该事件记录信息中，计划任务schtasks以及at都会被记录在内：包括创建者、任务名称、任务内容等。
4698：计划任务已创建
4700：计划任务已启用
4701：计划任务已停用
4702：计划任务已变更

·进程创建及终止记录——ID：4688、4689

要记录该日志，需要编辑本地审计策略后重启计算机（上面有讲如何开启策略），重启后便可记录每一个被启动的进程日志，包括软件进程。

2.linux

默认日志守护进程为[syslog]。位于/usr/sbin/syslog 或/usr/sbin/syslogd或/usr/sbin/rsyslog.d.默认配置文件为：/etc/syslog.conf ,/etc/rsyslog.conf，可以配置生成的日志

常用日志

1. /var/log/messages: 包括整体系统普通信息，其中也包含系统启动期间的日志。此外，还包括mail,cron,daemon,kern,auth等内容.
2. /var/log/syslog:它上messages日志不同，它只记录警告信息，通常是系统出问题的信息。
3. /var/log/user.log: 记录所有等级用户信息的日志.
4. /var/log/auth.log: 包含系统授权信息，用户登陆和使用权限机制
5. /var/log/daemon.log: 包含各种系统后台守护进程日志信息
6. /var/log/kern.log: 包含内核产生的日志，有助于在定制内核时解决问题.
7. /var/log/boot.log: 记录系统在引导过程中发生的事件，即linux系统开机自检过程显示的信息
8. /var/log/lastlog: 记录最后一次用户成功登陆的时间，IP等信息，lastlog查看
9. /var/log/secure: linux系统安全日志，记录用户和工作组变坏情况，用户登陆认证情况
10. /var/log/btmp:记录linux登陆失败的用户，时间和远程IP
11. /var/log/wtmp:此日志文件永久记录每个用户登录，注销及系统的启动，停机的事件，用last查看
12. /var/log/utmp:记录有关当前登录的每个用户的信息。如who,w,users,finger等需要访问此文件