تا %60 تخفیف خرید برای 8 نفر با صدور مدرک فقط تا
00 00 00
در توسینسو تدریس کنید

دوره آموزشی مقدماتی CompTIA Security قسمت هشتم

عنوان فصل : نظارت و تشخیص شبکه ها : اگر چه در سیستم عامل ویندوز نمیتواند ممیزی را بر اساس نام ایجاد کند (سیستم لاگ بر اساس نام) اما در کل سیاست های مربوط به حسابرسی مفیدی را در خود قرار داده است.البتهاگر شما بیایید برنامه های چون شیرپوینت،sql و ... رو بر روی ویندوز نصب کنید میتونید سیستم نظارتی قوی را به وجود بیارید و رویداد هایی که مربوط به امنیت است را تجزیه و تحلیل کنید.اما بریم سراغ لینوکس : لینوکس سیاست های مربوط به کنترل ورود رو در خودش داره که برای بحث امنیت خیلی جالبه مثال : اگه شما برید تو ترمینا لینوکس و دستور زیر رو وارد کنید اطلاعاتی به شما میده که جالبه. فعلا دستور رو وارد کنید تا جریانو براتون بگم

var/log/fail/log

این فایل شامل درخواست های ورود به سیستم هست که با شکست مواجه شده (حاجی میخوای بیایی تو کلید بنداز با دیلم که درو نمیشه باز کرد) شما با استفاده از این فایل میتونید ردیابی کنید افرادی که میخواستن به سیستمتون دست یابی پیدا کنن و نتونستن(مچگیری در ملا عام.خخخ)یا یه مثال دیگه : دستور زیر رو وارد کنید تا توضیحشو بدم.

var/log/apport.log

نرم افزار هایی که crash(سقوط) کردن لاگ هاشون رو ثبت میکنه و همچنین یه وقتایی هست یه سری نرم افزار میخوان خودشونو با سیستم عامل اخت کنن که نمیشه مث نرم افزار های جاسوسی و این چیزا که لاگشون تو این قسمت میوفته.خب تو این قسمت ما به شما نشون میدیم که نرم افزار event viewer چطوری لاگ ها رو ضبط میکنه.

نمایش رخ داد های ورودی

event viewer یه نرم افزاره توی ویندوز که ابزارهایی تو خودش جاداده که میتونه لاگ های سیستم رو به صورت کامل جمع اوری کنه و تجزیه و تحلیل کنه ، در تصاویر زیر شما رو با طرقه کار کردن با نرم افزار به صورت گام به گام اشنا میکنیم. خب مراحل زیر رو برین بعدش رو event viewer دابل کلیک کنید تا باز شه :

Click Start ➢ Control Panel ➢ Administrative Tools ➢ Event Viewer

زمانی که نرم افزار باز شد با چیزی مث زیر موجه میشین.

وب سایت توسینسو

خب توی کادر سمت چپ نوشته windows log رو فلش کنارش کلیک کنید تا محتویاتش باز بشه حالا روی یه فایل به اسم system کلیک کنید تا باز بشه....

وب سایت توسینسو

خب توی این باکس کلیک کنیدروی هر عنوانی که میخوایید روی یکی از رخ داد ها کلیک کنید.دوستان این لیست با توجه به حروف الفبا مرتب شده که شامل پیغام های خطا در سیستم و اطلاعات دیگر است.

مثال

ما روی یکی از این error massage (پیغام های خطا) کلیک میکنیم در قسمت زیر یعنی دوتا دکمه هست که رو یکیشون نوشته general یعنی توضیحات کلی درباره لاگ و دیگری نوشته detail که شامل جزئیات هم میشه با رو این دکمه دیتیل کلیک میکنیم خب همونطوری که میبینید یه جعبه ای باز شده که خیلی اطلاعات درباره اون رخ داد به ما میده حالا اگه چیزی دستگیرتون شده که فبحا(اینو تازه یاد گرفتم نمیدونم یعنی چی ) اما اگه نشد یه لینک هم در قسمت زیر هست که روش نوشته event log help online که با کلیک بر روی این لینک یه پنجره براتون باز میشه که میگه میخوای این لاگو درستش کنی به صورت انلاین تو هم میگی اره و yes رومیزنی.حالا با yes زدن شما وصل شدن به ماکروسافت همانا و نشان دادن مشکل همانا یعنی شما به ادرس زیر وصل میشید که همه چی رو درباره لاگ مورد نظر بهتون میده با مخلفات ویندوزتون.(پایینو نگاه کن بچه جون)

حالا عکسو نگاه کنیید .......

وب سایت توسینسو

اطلاعاتو نشون داده و میگه که سیستم مشکلی نداره و این یه لاگ معمولیه حالا شما با استفاده از کک های انلاین چت و اینا میتونید اطلاعات بیشتری درباره این لاگ به دست بیارین.

مثال

شما اگه رو این لینک پایین جدول که نوشته basic service oprating کلیک کنید سرویس های پایه سیستم عمل رو براتون نشون میده ، باز پایین این پنجره جدیده یه لینک نوشته service event login که با کلیک بر روش سرویس لاگ ها رو نشون میده ، حالا یه چیزی یه کادر ابی اون پایین اومده میگه اگه کمک میخوایی رو yes کلیک کن.وقتی کلیک میکنی یه کادر باز میشه میگه درخواستت رو برامون ارسال کن تا جوابشو برات بگیم و اینا. دوستان این چیزایی که الان توضیح دادم تو کادر event service control manager قرار داشت حالا بریم سراغ یه چیز دیه.شما برین روی همون باکسی که لاگ ها درونش لیست شده بود و روی یک لاگ راست کلیک کنید و گزینه event properties رو بزنید تا پنجره زیر براتون باز بشه .

وب سایت توسینسو

اینم همونه ولی تو یه پنجره دیگه یعنی شما میتونید به سرویس کنترل منیجر دسترسی پیدا کنید با این گزینه ، یه چیز دیه مثلا شما میخوایید در مورد یه لاگ مثل dns log چیزایی بدونید که کی بوده و از کجا اومده و اینجور چیزا رو لاگ کلیک میکنید بعد میرید رو باکس سمت راست یه گزینه هست که نوشته properties روش کلیک کنید سیر تا پیاز لاگ رو براتون بیرون میکشه. این پایین عکسش هست...

وب سایت توسینسو

دوستان با استفاده از این لاگ ها شما کار های محافظتی زیادی میتونید انجام بدین مثلا از یک ادرس احساس خطر میکنید اونو بلاکش میکنید با یه ای پی مشکل دارید اجازه ورود به سیستم رو به اون ای پی نمیدین و با استفاده از این لاگ ها شما میتونید به اطلاعاتی دست پیدا کنید که در قسمت عملیاتی اونو اجرایی کنید حالا یا با فایروال یا بندوبساط دیگه مهم اینه که اطلاعت رو از این لاگ فایل ها به دست میارین. دوستان مرسی که این جلسه هم با من همراه بودین ازتون ممنونم و همیشه بخندید حتی در شرایط سخت(خودمونیم من انقد میخندم به زندگی که کم کمک دارم دیوونه میشم).

نویسنده : مصطفی چگنی

منبع : جزیره امنیت اطلاعات و ارتباطات وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی است

#دوره_کامل_security+ #اموزش_کامل_دوره_security+ #آموزش_دوره_security+ #آموزش_کار_با_event_viewer #کتاب_security+

نظر شما
برای ارسال نظر باید وارد شوید.
1 نظر
افرادی که این مطلب را خواندند مطالب زیر را هم خوانده اند