1. Première analyse
Avoir avoir récupéré et décompressé l'archive (http://www.honeynet.org/files/sanitized_log.zip) contenant les logs, nous obtenons les fichiers suivants :
udev
debug
dpkg.log
user.log
messages
apt/term.log
secure
dmesg.0
auth.log
kern.log
fsck/checkfs
fsck/checkroot
fontconfig.log
dmesg
apache2/www-media.log
apache2/www-error.log
apache2/www-access.log
daemon.log
Les noms de fichiers sont révélateurs :
- dmesg, fsck, secure... indiquent qu'il s'agit d'un système Unix ;
- dpkg et apt sont utilisés par les distributions Linux de type Debian et Ubuntu ;
- présence du serveur web apache2.
Pour chaque fichier, commençons par être attentif aux dates des enregistrements.
1.1 udev
export TZ=UTC
[kmaster@adsl sanitized_log]$ grep "UEVENT\[" udev |head -1
UEVENT[1272866735.318771] add /bus/acpi (bus)
[kmaster@adsl sanitized_log]$ grep "UEVENT\[" udev |tail -1
UEVENT[1272866738.063339] add /bus/pci/drivers/parport_pc (drivers)
Le moment des événements est exprimé en secondes...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
