Tweet
Trong môi trường Linux, log chính là camera an ninh.
Không có log → không điều tra được
Có log nhưng không biết đọc → cũng như không ❌
Hacker hiểu điều này rất rõ, nên log luôn là thứ bị né hoặc bị xóa đầu tiên.
🧠 Nguyên tắc vàng cho SOC khi theo dõi log Linux
SOC không cần đọc tất cả log.
SOC cần đọc đúng log – đúng thời điểm – đúng ngữ cảnh.
Một log “bình thường” có thể cực kỳ nguy hiểm nếu xuất hiện sai thời điểm.
🔐 1. Authentication log – Ai đang vào hệ thống?
📄 /var/log/auth.log (Debian/Ubuntu)
📄 /var/log/secure (RHEL/CentOS)
Đây là log quan trọng nhất.
SOC cần để ý:
🔑 SSH login thành công / thất bại
👤 User login ngoài giờ
🌍 Login từ IP lạ
🧑💻 User thường nhưng dùng sudo
🚫 Nhiều lần fail rồi success
💥 Hacker thường brute-force, reuse password hoặc dùng SSH key backdoor → auth.log là nơi lộ đầu tiên.
🧑⚖️ 2. Sudo log – Ai đang làm việc “không đúng vai”?
Sudo không chỉ là tiện ích, nó là dấu vết leo thang đặc quyền.
SOC cần soi:
⚠️ User thường dùng sudo
⚠️ Lệnh sudo bất thường
⚠️ Sudo được dùng liên tục
⚠️ User mới có sudo
📌 Ví dụ nguy hiểm:
👉 Rất nhiều vụ compromise lộ ra từ sudo log.
⚙️ 3. Process & service log – Thứ gì đang chạy?
Systemd journal
📄 journalctl
SOC cần để ý:
🛠️ Service mới được tạo
🔄 Service tự restart liên tục
🌐 Service tạo outbound connection
⚠️ Binary lạ chạy dưới quyền root
💣 Hacker thích systemd persistence vì rất “hợp pháp”.
⏰ 4. Cron log – Thứ gì đang tự chạy khi không ai dùng?
📄 /var/log/syslog
📄 Cron-specific log (tuỳ distro)
SOC nên chú ý:
🕒 Cron job mới
🌍 Cron gọi curl / wget
🧾 Cron chạy script từ /tmp
⚠️ Cron chạy với quyền root
👉 Nếu thấy cron chạy script từ Internet → bật đèn đỏ ngay 🚨
📁 5. File & config change – Ai sửa hệ thống?
File log thường bị bỏ quên nhưng cực kỳ quan trọng.
SOC nên giám sát:
📄 /etc/passwd
📄 /etc/shadow
📄 /etc/sudoers
📄 /etc/systemd/system/
📄 ~/.ssh/authorized_keys
🚩 Dấu hiệu nguy hiểm:
🌐 6. Network & outbound traffic log – Server nói chuyện với ai?
Hacker không thể im lặng mãi.
SOC cần:
🌍 Theo dõi outbound IP
🕵️♂️ DNS request bất thường
📡 Kết nối đến IP hiếm / quốc tế
⏳ Beaconing theo chu kỳ
📌 Đặc biệt chú ý:
🧹 7. Log tampering – Khi log biến mất
Một dấu hiệu cực kỳ nguy hiểm:
🕳️ Log bị truncate
🕳️ File log reset đột ngột
🕳️ Gap thời gian trong log
🕳️ rsyslog bị stop
👉 Hacker thường xóa log sau khi persistence xong.
🧠 Timeline – Cách SOC ghép log hiệu quả
SOC giỏi không chỉ đọc log, mà xâu chuỗi sự kiện:
1️⃣ SSH login lạ
2️⃣ Sudo thành công
3️⃣ File system bị sửa
4️⃣ Service mới xuất hiện
5️⃣ Outbound traffic
💥 Ghép lại → full kill chain hiện ra
🛡️ SOC nên làm gì để không mù log?
✔ Centralized logging (SIEM)
✔ Log immutable / append-only
✔ Alert theo hành vi, không chỉ keyword
✔ Theo dõi “bình thường” trước khi tìm “bất thường”
🏁 Kết luận
Linux không thiếu log.
SOC thiếu là tư duy đọc log đúng cách.
Nếu theo dõi tốt:
🔎 Bạn thấy hacker từ rất sớm
⏰ Phát hiện trước khi dữ liệu bị lấy
🧯 Incident response kịp thời
Nếu không:
😈 Hacker ở lại cả tháng mà không ai hay
Không có log → không điều tra được
Có log nhưng không biết đọc → cũng như không ❌
Hacker hiểu điều này rất rõ, nên log luôn là thứ bị né hoặc bị xóa đầu tiên.
🧠 Nguyên tắc vàng cho SOC khi theo dõi log Linux
SOC không cần đọc tất cả log.
SOC cần đọc đúng log – đúng thời điểm – đúng ngữ cảnh.
Một log “bình thường” có thể cực kỳ nguy hiểm nếu xuất hiện sai thời điểm.
🔐 1. Authentication log – Ai đang vào hệ thống?
📄 /var/log/auth.log (Debian/Ubuntu)
📄 /var/log/secure (RHEL/CentOS)
Đây là log quan trọng nhất.
SOC cần để ý:
🔑 SSH login thành công / thất bại
👤 User login ngoài giờ
🌍 Login từ IP lạ
🧑💻 User thường nhưng dùng sudo
🚫 Nhiều lần fail rồi success
💥 Hacker thường brute-force, reuse password hoặc dùng SSH key backdoor → auth.log là nơi lộ đầu tiên.
🧑⚖️ 2. Sudo log – Ai đang làm việc “không đúng vai”?
Sudo không chỉ là tiện ích, nó là dấu vết leo thang đặc quyền.
SOC cần soi:
⚠️ User thường dùng sudo
⚠️ Lệnh sudo bất thường
⚠️ Sudo được dùng liên tục
⚠️ User mới có sudo
📌 Ví dụ nguy hiểm:
- User helpdesk chạy sudo su
- Script tự động dùng sudo
- Cron job gọi sudo
👉 Rất nhiều vụ compromise lộ ra từ sudo log.
⚙️ 3. Process & service log – Thứ gì đang chạy?
Systemd journal
📄 journalctl
SOC cần để ý:
🛠️ Service mới được tạo
🔄 Service tự restart liên tục
🌐 Service tạo outbound connection
⚠️ Binary lạ chạy dưới quyền root
💣 Hacker thích systemd persistence vì rất “hợp pháp”.
⏰ 4. Cron log – Thứ gì đang tự chạy khi không ai dùng?
📄 /var/log/syslog
📄 Cron-specific log (tuỳ distro)
SOC nên chú ý:
🕒 Cron job mới
🌍 Cron gọi curl / wget
🧾 Cron chạy script từ /tmp
⚠️ Cron chạy với quyền root
👉 Nếu thấy cron chạy script từ Internet → bật đèn đỏ ngay 🚨
📁 5. File & config change – Ai sửa hệ thống?
File log thường bị bỏ quên nhưng cực kỳ quan trọng.
SOC nên giám sát:
📄 /etc/passwd
📄 /etc/shadow
📄 /etc/sudoers
📄 /etc/systemd/system/
📄 ~/.ssh/authorized_keys
🚩 Dấu hiệu nguy hiểm:
- File bị sửa ngoài giờ
- User mới xuất hiện
- SSH key mới không rõ nguồn
- Permission thay đổi bất thường
🌐 6. Network & outbound traffic log – Server nói chuyện với ai?
Hacker không thể im lặng mãi.
SOC cần:
🌍 Theo dõi outbound IP
🕵️♂️ DNS request bất thường
📡 Kết nối đến IP hiếm / quốc tế
⏳ Beaconing theo chu kỳ
📌 Đặc biệt chú ý:
- Kết nối từ server nội bộ ra Internet
- Port lạ (4444, 1337, 8081…)
🧹 7. Log tampering – Khi log biến mất
Một dấu hiệu cực kỳ nguy hiểm:
🕳️ Log bị truncate
🕳️ File log reset đột ngột
🕳️ Gap thời gian trong log
🕳️ rsyslog bị stop
👉 Hacker thường xóa log sau khi persistence xong.
🧠 Timeline – Cách SOC ghép log hiệu quả
SOC giỏi không chỉ đọc log, mà xâu chuỗi sự kiện:
1️⃣ SSH login lạ
2️⃣ Sudo thành công
3️⃣ File system bị sửa
4️⃣ Service mới xuất hiện
5️⃣ Outbound traffic
💥 Ghép lại → full kill chain hiện ra
🛡️ SOC nên làm gì để không mù log?
✔ Centralized logging (SIEM)
✔ Log immutable / append-only
✔ Alert theo hành vi, không chỉ keyword
✔ Theo dõi “bình thường” trước khi tìm “bất thường”
🏁 Kết luận
Linux không thiếu log.
SOC thiếu là tư duy đọc log đúng cách.
Nếu theo dõi tốt:
🔎 Bạn thấy hacker từ rất sớm
⏰ Phát hiện trước khi dữ liệu bị lấy
🧯 Incident response kịp thời
Nếu không:
😈 Hacker ở lại cả tháng mà không ai hay