日志管理日志查看課前準(zhǔn)備觀看視頻，學(xué)習(xí)Windows和Linux日志查看方法;Windows和Linux日志查看方式情境導(dǎo)入公司依據(jù)網(wǎng)絡(luò)等級保護(hù)三級對于日志管理的要求：“應(yīng)詳細(xì)記錄運(yùn)維操作日志，包括日常巡檢工作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容”。為了記錄和查看企業(yè)用戶操作系統(tǒng)的日志，除了行政管理要求外，管理員還需要通過技術(shù)手段進(jìn)行系統(tǒng)操作日志的記錄和查看，從而及時發(fā)現(xiàn)可能存在的異常情況，做好系統(tǒng)的安全防護(hù)工作。情境導(dǎo)入-教師基于課前自測情況開展評價活動教師基于課前自測情況開展活動教師展示學(xué)生預(yù)習(xí)自測題情況教師就測試結(jié)果完成課前評價1.使用事件查看器查看Windows系統(tǒng)日志、安全日志和應(yīng)用程序日志；2.使用相關(guān)的文件查看命令，查看Linux系統(tǒng)日志、登錄日志。根據(jù)安全管理要求，提出任務(wù)：教學(xué)活動一：使用事件查看器查看Windows日志為此，管理員需要完成以下運(yùn)維工作：教學(xué)活動一：使用事件查看器查看Windows日志如何讓W(xué)indows系統(tǒng)記錄系統(tǒng)和安全日志？教師點(diǎn)評，組織學(xué)生互評教學(xué)活動一：使用事件查看器查看Windows日志步驟01任務(wù)步驟啟動審核策略；步驟02查看用戶登錄事件；步驟03查看日志服務(wù)事件。教學(xué)活動一：使用事件查看器查看Windows日志任務(wù)初探下發(fā)任務(wù)單（課中資料）下發(fā)操作視頻學(xué)生開展活動一實(shí)訓(xùn)教師評價學(xué)生小組完成任務(wù)情況教學(xué)活動一：使用事件查看器查看Windows日志教師點(diǎn)評活動一實(shí)訓(xùn)環(huán)節(jié)（參與度、完成情況）提出教學(xué)KR1目標(biāo)10分鐘內(nèi)完成Windows中使用eventvwr.msc工具查看日志的任務(wù)01學(xué)生再次練習(xí)完成KR1指標(biāo)02教師點(diǎn)評KR1活動達(dá)標(biāo)率教學(xué)活動二：使用命令查看Linux系統(tǒng)日志根據(jù)等級保護(hù)的日志管理要求，管理員需要定期對Linux系統(tǒng)登錄日志進(jìn)行查看，從而及時發(fā)現(xiàn)系統(tǒng)可能存在的安全風(fēng)險，進(jìn)行相關(guān)預(yù)防和安全加固工作。提出活動內(nèi)容Linux系統(tǒng)日志服務(wù)的設(shè)置文件的核心內(nèi)容有哪些？教學(xué)活動二：使用命令查看Linux系統(tǒng)日志小結(jié)1討論小結(jié)tail/var/log/secure查看認(rèn)證事件；小結(jié)2last命令查看用戶登錄、注銷等事件；小結(jié)3sudocat/var/log/dmesg命令查看系統(tǒng)啟動的日志信息。教師點(diǎn)評，組織學(xué)生自評、互評教學(xué)活動二：使用命令查看Linux系統(tǒng)日志步驟01任務(wù)步驟使用tail命令查看用戶認(rèn)證相關(guān)的安全事件信息；步驟02使用last命令查看用戶登錄、注銷等事件；步驟03使用cat命令查看系統(tǒng)啟動的日志信息。組織學(xué)生觀看操作錄屏，分小組討論任務(wù)步驟教學(xué)活動二：使用命令查看Linux系統(tǒng)日志步驟01任務(wù)步驟查看日志設(shè)置文件；步驟02查看用戶認(rèn)證事件；教師點(diǎn)評，組織學(xué)生自評、互評查看用戶登錄、注銷事件；查看系統(tǒng)引導(dǎo)信息。步驟03步驟04教學(xué)活動二：使用命令查看Linux系統(tǒng)日志任務(wù)初探下發(fā)任務(wù)單（課中資料）下發(fā)操作視頻，根據(jù)視頻完成任務(wù)學(xué)生開展活動二實(shí)訓(xùn)教師評價學(xué)生小組完成任務(wù)情況教學(xué)活動二：使用命令查看Linux系統(tǒng)日志教師點(diǎn)評活動二實(shí)訓(xùn)環(huán)節(jié)（參與度、完成情況）提出教學(xué)KR2目標(biāo)15分鐘內(nèi)按要求使用命令完成系統(tǒng)用戶認(rèn)證、用戶登錄、注銷、系統(tǒng)引導(dǎo)日志的查看01學(xué)生再次練習(xí)完成KR2指標(biāo)02教師點(diǎn)評KR2活動達(dá)標(biāo)率課堂總結(jié)學(xué)習(xí)要點(diǎn)使用事件查看器查看Windows日志使用命令查看Linux系統(tǒng)日志思政要點(diǎn)網(wǎng)絡(luò)安全法要求企業(yè)要按等保要求，安全個體要有安全意識；企業(yè)的安全要實(shí)施管理與技術(shù)都要有要求，才能實(shí)現(xiàn)安全基本要求。課后作業(yè)思考與練習(xí)實(shí)訓(xùn)：在Windows10客戶端遠(yuǎn)程登錄WindowsServer2019，以管理員身份運(yùn)行eventvwr.msc程序，查看安全日志中遠(yuǎn)程用戶登錄事件。謝謝觀看自己動手練習(xí)練習(xí)吧!日志管理日志過濾課前準(zhǔn)備1.觀看視頻，學(xué)習(xí)Windows和Linux日志過濾方法。Windows日志過濾方法Linux日志過濾方法情境導(dǎo)入公司依據(jù)網(wǎng)絡(luò)等級保護(hù)三級對于日志管理的要求：“應(yīng)詳細(xì)記錄運(yùn)維操作日志，包括日常巡檢工作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容”。為了精準(zhǔn)查看企業(yè)用戶操作系統(tǒng)日志，管理員需要通過過濾技術(shù)進(jìn)行系統(tǒng)操作日志篩選，從而及時發(fā)現(xiàn)可能存在的異常情況，做好系統(tǒng)的安全防護(hù)工作。根據(jù)預(yù)習(xí)資料，思考請例舉:如何使用事件查看器工具查看Windows安全日志？情境導(dǎo)入-教師基于問題及課前自測情況開展評價活動學(xué)生回答教師提出的問題教師基于問題及課前自測情況開展活動教師對學(xué)生的回答結(jié)果進(jìn)行分類概括教師展示學(xué)生預(yù)習(xí)自測題情況教師就提出的問題及測試結(jié)果完成課前評價1.

使用事件查看器工具查看Windows安全日志；2.

使用事件查看器工具過濾特定的事件ID。根據(jù)安全管理要求，提出任務(wù)教學(xué)活動一：在給出的Windows安全日志中找出所需的日志為此，管理員需要完成以下運(yùn)維工作：分析任務(wù)開展討論，明確任務(wù)要求和任務(wù)目的：1.了解Windows安全日志的特定事件ID提問、設(shè)疑：如何使用事件查看器工具查看Windows安全日志？組織討論與展示，教師點(diǎn)評、組織學(xué)生互評教學(xué)活動一：在給出的Windows安全日志中找出所需的日志步驟01任務(wù)步驟打開事件查看器并查看windows安全日志。步驟02在安全日志操作窗口輸入事件ID：4720，查看創(chuàng)建用戶成功情況。步驟03選擇事件屬性命令查看事件ID：4720屬性。步驟04在安全日志操作窗口輸入事件ID：4726，查看刪除用戶成功情況。步驟05選擇事件屬性命令查看事件ID：4726屬性。教學(xué)活動一：在給出的Windows安全日志中找出所需的日志任務(wù)初探.下發(fā)操作視頻巡視指導(dǎo)學(xué)生、解答疑惑組織學(xué)生演示分享教學(xué)活動一：在給出的Windows安全日志中找出所需的日志學(xué)生根據(jù)操作視頻，討論完成任務(wù)教師點(diǎn)評（學(xué)生參與度、任務(wù)完成情況）、組織學(xué)生互評教師評價學(xué)生練習(xí)、點(diǎn)評實(shí)戰(zhàn)結(jié)果提出教學(xué)KR指標(biāo)110分鐘內(nèi)完成Windows中使用事件查看器工具過濾特定的事件ID的任務(wù)01學(xué)生再次練習(xí)完成KR指標(biāo)102教師點(diǎn)評展示學(xué)生的KR1活動達(dá)標(biāo)率情況教學(xué)活動一：在給出的Windows安全日志中找出所需的日志根據(jù)等級保護(hù)的日志管理要求教學(xué)活動二：使用grep或egrep命令從給定的Linux日志中找出所需的日志管理員需要定期對Linux系統(tǒng)登錄日志進(jìn)行過濾，從而及時發(fā)現(xiàn)系統(tǒng)可能存在的安全風(fēng)險，進(jìn)行相關(guān)預(yù)防和安全加固工作。組織討論討論Linux系統(tǒng)日志過濾方法。設(shè)問：Linux系統(tǒng)內(nèi)安全日志與系統(tǒng)日志的路徑分別是什么？分小組展示討論的結(jié)果小結(jié)小組討論教學(xué)活動二：使用grep或egrep命令從給定的Linux日志中找出所需的日志grep命令的用法、參數(shù)和示例.egrep命令的用法、參數(shù)和示例。教師點(diǎn)評、組織學(xué)生互評步驟01任務(wù)步驟使用grep相關(guān)命令，過濾出linux安全日志內(nèi)指定日期的內(nèi)容。步驟02使用grep相關(guān)命令，過濾出linux系統(tǒng)日志內(nèi)帶“info”的日志內(nèi)容。分析任務(wù)：根據(jù)任務(wù)要求，討論任務(wù)完成步驟教學(xué)活動二：使用grep或egrep命令從給定的Linux日志中找出所需的日志小結(jié)任務(wù)步驟教學(xué)活動二：使用grep或egrep命令從給定的Linux日志中找出所需的日志過濾并分析安全日志內(nèi)的各項(xiàng)日志內(nèi)容；過濾并分析系統(tǒng)日志內(nèi)的各項(xiàng)日志內(nèi)容。教師點(diǎn)評、組織學(xué)生互評任務(wù)初探任務(wù)單巡視指導(dǎo)學(xué)生、解答疑惑教學(xué)活動二：使用grep或egrep命令從給定的Linux日志中找出所需的日志教師點(diǎn)評、組織學(xué)生互評完成任務(wù)教師對學(xué)生的交流合作情況進(jìn)行評價提出教學(xué)KR2指標(biāo)15分鐘內(nèi)完成活動相關(guān)域用戶賬戶和組的創(chuàng)建01學(xué)生再次練習(xí)完成KR2指標(biāo)02教師點(diǎn)評展示學(xué)生的KR2活動達(dá)標(biāo)率情況教學(xué)活動二：使用grep或egrep命令從給定的Linux日志中找出所需的日志課堂總結(jié)學(xué)習(xí)要點(diǎn)在給出的Windows安全日志中找出所需的日志使用grep或egrep命令從給定的Linux日志中找出所需的日志思政要點(diǎn)網(wǎng)絡(luò)安全法要求企業(yè)要按等保要求，安全個體要有安全意識企業(yè)的安全要實(shí)施管理與技術(shù)都要有要求，才能實(shí)現(xiàn)安全基本要求課后作業(yè)實(shí)訓(xùn)：在linux系統(tǒng)內(nèi)使用egrep命令過濾關(guān)鍵字為“info”的message日志文件并分析。謝謝觀看自己動手練習(xí)練習(xí)吧!日志管理日志導(dǎo)出課前準(zhǔn)備1.觀看視頻，了解Windows日志的導(dǎo)出方法。2.基于資料了解linux日志服務(wù)器的搭建配置方法。Windows日志的導(dǎo)出方法linux日志服務(wù)器的搭建配置方法情境導(dǎo)入日志對于安全來說，非常重要，他記錄了系統(tǒng)每天發(fā)生的各種各樣的事情，你可以通過他來檢查錯誤發(fā)生的原因，或者受到攻擊時攻擊者留下的痕跡。日志主要的功能有：審計(jì)和監(jiān)測。他還可以實(shí)時的監(jiān)測系統(tǒng)狀態(tài)，監(jiān)測和追蹤侵入者等等。因此基于Windows服務(wù)器，要求掌握導(dǎo)出日志的方法；基于Linux服務(wù)器，掌握日志服務(wù)器的搭建以及客戶機(jī)與服務(wù)器的關(guān)聯(lián)方法。根據(jù)預(yù)習(xí)資料，思考請例舉:服務(wù)器發(fā)現(xiàn)異常時，要怎么導(dǎo)出日志和并對日志做出審計(jì)？情境導(dǎo)入-教師基于問題及課前自測情況開展評價活動學(xué)生回答教師提出的問題教師基于問題及課前自測情況開展活動教師對學(xué)生的回答結(jié)果進(jìn)行分類概括教師展示學(xué)生預(yù)習(xí)自測題情況教師就提出的問題及測試結(jié)果完成課前評價根據(jù)安全管理要求，提出任務(wù)教學(xué)活動一：導(dǎo)出Windows系統(tǒng)及安全日志公司的WINDOWS服務(wù)器前天晚上突然服務(wù)有所異常，現(xiàn)經(jīng)安全運(yùn)維人員需要將安全日志和系統(tǒng)日志導(dǎo)出，并進(jìn)行日志審計(jì)，請完成日志導(dǎo)出工作。分析任務(wù)開展討論，明確任務(wù)要求和任務(wù)目的：1.導(dǎo)出系統(tǒng)日志；2.導(dǎo)出安全日志。組織討論與展示，教師點(diǎn)評、組織學(xué)生互評步驟01任務(wù)步驟進(jìn)入事件查看器的Windows日志進(jìn)行分類日志導(dǎo)出。教學(xué)活動一：導(dǎo)出Windows系統(tǒng)及安全日志任務(wù)初探下發(fā)操作視頻巡視指導(dǎo)學(xué)生、解答疑惑組織學(xué)生演示分享教學(xué)活動一：導(dǎo)出Windows系統(tǒng)及安全日志學(xué)生根據(jù)操作視頻，討論完成任務(wù)教師點(diǎn)評（學(xué)生參與度、任務(wù)完成情況）、組織學(xué)生互評教師評價學(xué)生練習(xí)、點(diǎn)評實(shí)戰(zhàn)結(jié)果提出教學(xué)KR指標(biāo)110分鐘內(nèi)完成任務(wù)要求01學(xué)生再次練習(xí)完成KR指標(biāo)102教師點(diǎn)評展示學(xué)生的KR1活動達(dá)標(biāo)率情況教學(xué)活動一：導(dǎo)出Windows系統(tǒng)及安全日志任務(wù)場景教學(xué)活動二：搭建Linux日志服務(wù)器公司要求搭建一個簡單的Linux日志服務(wù)器，將日志實(shí)時傳送到一個更加安全的遠(yuǎn)端服務(wù)器上，實(shí)現(xiàn)日志的集中、統(tǒng)一式管理。提出任務(wù)1）配置Linux日志服務(wù)器，統(tǒng)一收集日志。2）其他客戶機(jī)將日志發(fā)送到日志服務(wù)器。組織討論教學(xué)活動二：搭建Linux日志服務(wù)器討論以下問題：日志服務(wù)器的日志配置文件應(yīng)該修改哪些點(diǎn)？客戶機(jī)怎樣和日志服務(wù)器進(jìn)行聯(lián)動，把本機(jī)日志發(fā)送到日志服務(wù)器？組織分小組展示討論小結(jié)學(xué)生討論教學(xué)活動二：搭建Linux日志服務(wù)器服務(wù)器需要設(shè)定接受協(xié)議并指定端口號客戶端需要指定日志傳送目的服務(wù)器地址和協(xié)議方式，以及日志類型配置文件修改后需要重啟服務(wù)教師點(diǎn)評、組織學(xué)生互評步驟01任務(wù)步驟配置Linux日志服務(wù)器的日志配置文件。步驟02配置客戶機(jī)的日志配置文件。步驟03驗(yàn)證客戶機(jī)日志的去向。教學(xué)活動二：搭建Linux日志服務(wù)器教學(xué)活動二：搭建Linux日志服務(wù)器任務(wù)初探任務(wù)單巡視指導(dǎo)學(xué)生、解答疑惑教師點(diǎn)評、組織學(xué)生互評完成任務(wù)教學(xué)活動二：搭建Linux日志服務(wù)器教師對學(xué)生的交流合作情況進(jìn)行評價提出教學(xué)KR2指標(biāo)10分鐘內(nèi)按要求完成任務(wù)二操作01學(xué)生再次練習(xí)完成KR指標(biāo)202教師點(diǎn)評展示學(xué)生的KR2活動達(dá)標(biāo)率情況課堂總結(jié)學(xué)習(xí)要點(diǎn)導(dǎo)出Windows系統(tǒng)及安全日志搭建Linux日志服務(wù)器思政要點(diǎn)網(wǎng)絡(luò)安全法要求企業(yè)要按等保要求，安全個體要有安全意識企業(yè)的安全要實(shí)施管理與技術(shù)都要有要求，才能實(shí)現(xiàn)安全基本要求課后作業(yè)思考與練習(xí)請簡述Windows系統(tǒng)中有哪些類型的日志？關(guān)于Linux日志服務(wù)器，思考怎樣對日志進(jìn)行分類？日志分類基于哪些屬性？Linux日志服務(wù)器默認(rèn)是不接收遠(yuǎn)端日志的，請寫出如何配置才能接收遠(yuǎn)端發(fā)來的日志？謝謝觀看自己動手練習(xí)練習(xí)吧!日志管理日志排查課前準(zhǔn)備1.回顧日志的操作；2.觀看日志分析案例。

日志的操作日志分析案例

情境導(dǎo)入公司依據(jù)網(wǎng)絡(luò)等級保護(hù)三級對于日志管理的要求：“應(yīng)詳細(xì)記錄運(yùn)維操作日志，包括日常巡檢工作、運(yùn)行維護(hù)記錄、參數(shù)的設(shè)置和修改等內(nèi)容”。為了記錄和查看企業(yè)用戶操作系統(tǒng)的日志，除了行政管理要求外，管理員還需要掌握對系統(tǒng)日志審計(jì)操作，從而及時發(fā)現(xiàn)可能存在的異常情況，做好系統(tǒng)的安全防護(hù)工作。為此，公司管理員需要完成以下運(yùn)維工作：排查Windows日志；排查Linux日志。情境導(dǎo)入-教師基于課前自測情況開展評價活動教師基于課前自測情況開展活動教師展示學(xué)生預(yù)習(xí)自測題情況教師就測試結(jié)果完成課前評價1.攻擊者是用什么手段進(jìn)行滲透入侵？2.分析一下攻擊者，用什么方式登錄到當(dāng)前主機(jī)的。3.登錄后做了什么？根據(jù)安全管理要求，提出任務(wù)：教學(xué)活動一：排查Windows系統(tǒng)日志公司的WINDOWS服務(wù)器前天晚上突然服務(wù)有所異常，現(xiàn)經(jīng)安全運(yùn)維人員緊急處理，將服務(wù)器斷網(wǎng)后，經(jīng)過仔細(xì)排查，發(fā)現(xiàn)有帳號的登錄，將服務(wù)器的日志已經(jīng)導(dǎo)出帶回。現(xiàn)要求安全技術(shù)人員對系統(tǒng)日志進(jìn)行審計(jì)，要求如下：教學(xué)活動一：排查Windows系統(tǒng)日志要找出惡意者做了什么，分析日志的步驟是什么？對于一份日志，我們應(yīng)該是按怎么步驟進(jìn)行分析？教師點(diǎn)評、組織學(xué)生互評教學(xué)活動一：排查Windows系統(tǒng)日志步驟01任務(wù)步驟先初步瀏覽，發(fā)現(xiàn)不同的日志區(qū)間；步驟02篩選可疑事件ID；步驟03確定可疑事件ID出現(xiàn)的時間段；步驟04按照最后的時間段，繼續(xù)向下排查；步驟05定位異常事件。教學(xué)活動一：排查Windows系統(tǒng)日志任務(wù)初探下發(fā)任務(wù)單（課中資料）下發(fā)操作視頻學(xué)生開展活動一實(shí)訓(xùn)教師點(diǎn)評任務(wù)完成情況教學(xué)活動一：排查Windows系統(tǒng)日志教師點(diǎn)評活動一實(shí)訓(xùn)環(huán)節(jié)（參與度、完成情況）提出教學(xué)KR1目標(biāo)10分鐘內(nèi)完成任務(wù)要求01學(xué)生再次練習(xí)完成KR1指標(biāo)02教師點(diǎn)評KR1活動達(dá)標(biāo)率教學(xué)活動二：排查Linux日志公司的Linux服務(wù)器又到規(guī)定的運(yùn)維時間，日志已經(jīng)下載到本地，要求安全技術(shù)人員進(jìn)本地Linux系統(tǒng)上對日志進(jìn)行排查：提出活動內(nèi)容Linux下可以用什么命令？Linux下的日志排查的步驟是什么？教學(xué)活動二：排查Linux日志小結(jié)1討論小結(jié)Linux下可以使用sort,uniq,grep,awk等命令結(jié)合過濾與統(tǒng)計(jì)日志中的信息；小結(jié)2Linux下的日志排查的步驟與Windows是一樣的（先粗后細(xì)）。教師點(diǎn)評，組織學(xué)生自評、互評設(shè)定共享權(quán)限的原則：教學(xué)活動二：排查Linux日志步驟01任務(wù)步驟將實(shí)訓(xùn)的testlog.tar.gz日志文件在Linux系統(tǒng)中解包；步驟02按要求排查日志，找出最后一次root的登錄時間、從什么地方登錄；步驟03排查相關(guān)日志，找出最后一次網(wǎng)絡(luò)登錄的來源IP是什么；