Merhaba,
Log Analizi case e gore ilerler yani aman aman bir standard metodolojisi yok. Case i canlandirirsaniz daha fazla yardim bulabilirsiniz. Soru cok genel.
Neyin analizi olacak? Herhangi bir suphelenilen durum var mi? vs bunlar onemli yonlendirme acisindan.
Ornegin herhangi bir bilgi yoksa cok ozetle sunlar denenebilir. Ve elde edilen bilgiler analizin kalanini yonlendirir.
Traffic icerden disari hangi hostlara gidiyor.
hiyerarsi nasil
source destination ip ve portlarin unique listeleri ve istek sayilari
user agent lat extract edilebilir
Sadece SYN flag paketleri bir kenara toplayip onlar incelenebilir.
DNS trafigi extract edilebilir
giden trafikte mail adresleri incelenebilir
dosya transferi olmus mu bakilabilir
alisilmis olmayan uzak sunuculara erisimler portlar vs incelenebilir
log icerisinde cesitli atak tipleri arastirilabilinir
Bu atak tiplerine ait exploit surecleri arastirilabilinir.
Log analizi supheli olabilecek her durum icin kullanilabilir, bunun disinda, uygulamalarda fonksiyonel problemler icin, performans problemlerinin analizinde, yahut developerlar troubleshooting yaparken kullanilabilir. O nedenle casenizi canlandirmakta fayda var. Tabi ne tarz loglara sahip olundugu da onemli. Bazen log diye tutturursunuz ama cenazenize kimse gelmez :)
Misal SQL Injection payloadlari gormussunuzdur, o zaman belki ilk once SQLi exploitation patternlerine odaklanirsiniz. hani exploitation gercekles mi yoksa yalnizca taranmis mi seklinde. Patternlerin yani sira response code lara bakabilirsiniz 500 filan gibi.
Tabi analiz yapilacak seye gore o alanda backgroundunuzun olmasi gerekir olup biteni anlamak acisindan.
Iyi Calismalar.