《日志管理与分析权威指南》一1.5.4 取证

本节书摘来华章计算机《日志管理与分析权威指南》一书中的第1章 ，第1.5.4节，（美）　anton a. chuvakin kevin j. schmidt christopher phillips　著 姚　军　简于涵　刘　晖　等译更多章节内容可以访问云栖社区“华章计算机”公众号查看。

取证是在事件发生后重建“发生了什么”的情景的过程。这种描绘往往基于不完整的信息，而信息可信度是至关重要的。日志是取证过程中不可或缺的组成部分。

日志一经记录，就不会由于系统的正常使用而被修改，这意味着它们是一种“永久性”的记录。因此，它们可以为系统中其他可能更容易被更改或破坏的数据提供准确的补充。

由于每条日志中通常都有着时间戳，它们提供了每个事件的时间顺序，不仅仅告诉我们发生了什么事情，还告诉我们这些事情发生的时间和顺序。

而且，日志发送到另一台主机（通常是一个集中日志收集器），这也提供了独立于原始源的一个证据来源。如果原始来源上信息的准确性遭到质疑（例如入侵者可能篡改或者删除了日志），独立的信息源可能被认为是更可靠的附加来源。

同样，来自不同来源甚至不同站点的日志可以佐证其他证据，提高每个源的准确性。

日志有助于加强收集的其他证据。重现事件往往不是基于一部分信息或者单个信息源，而是来自各种来源的数据：文件和各自系统上的时间戳、用户的命令历史记录、网络数据和日志。日志有时可能会否认其他证据，这本身可能表明其他来源已被破坏（例如遭到入侵者的篡改）。

日志中显示的证据有时是间接或者不完整的。例如，一个日志条目可能展示出一个特定的活动，但没有说明是谁进行的。或者，举个例子，进程账户日志显示一个用户运行了什么命令，但并没有记录这些命令的参数。所以日志并不总是唯一的可靠信息来源。但是，当主机遭到入侵，如果主机已经将日志转发给集中日志服务器，日志就可能是唯一可靠的信息来源。这些日志在主机遭到入侵前是可以信任的，而在入侵之后就值得怀疑了。但是你收集的日志有助于揭示到底发生了什么，或者为你指出正确的方向。