linux系統管理（日誌）

/ var/log/message 系統啟動後的資訊和錯誤日誌，是red hat linux中最常用的日誌之一 /var /log/secure 與安全相關的日誌資訊 /var /log/maillog 與郵件相關的日誌資訊 /var /log/cron 與定時任務相關的日誌資訊 /var /log/spooler 與uucp和news裝置相關的日誌資訊 /var /log/boot.log 守護程序啟動和停止相關的日誌訊息 /var

/log/wtmp 該日誌檔案永久記錄每個使用者登入、登出及系統的啟動、停機的事件

users

users命令只是簡單地輸出當前登入的使用者名稱，每個顯示的使用者名稱對應乙個登入會話。如果乙個使用者有不止乙個登入會話，那他的使用者名將顯示與其相同的次數。

who

who命令用於報告當前登入到系統中的每個使用者的資訊。使用該命令，系統管理員可以檢視當前系統存在哪些不合法使用者，從而對其進行審計和處理。who的預設輸出包括使用者名稱、終端型別、登入日期及遠端主機

w命令用於顯示當前系統中的每個使用者及其所執行的程序資訊，比users、who命令的輸出內容要豐富一些。

last

last命令用於查詢成功登入到系統的使用者記錄，最近的登入情況將顯示在最前面。通過last命令可以及時掌握linux主機的登入情況，若發現未經授權的使用者登入過，則表示當前主機可能已被入侵

last

last -f /var/log/wtmp

/var/log/wtmp 該日誌檔案永久記錄每個使用者登入、登出及系統的啟動、停機的事件

[root@localhost ~]# last gao pts/ 211.22 .34.33 mon feb 110: 30 still logged in root pts/ 1192.168 .19.113 sun dec 1319: 22-20: 22(00: 00)【說明】： gao：表示ssh登入的使用者名稱 11.22 .34.33：表示通過該ip，ssh方式連線本機的 sun dec 1319: 22 表示：登入時間20: 22(00: 00)

表示：退出時間

grep "failed password for root"
/var
/log/secure | awk ''
| sort | uniq -c | sort -nr | more

lastb命令用於查詢登入失敗的使用者記錄，如登入的使用者名稱錯誤、密碼不正確等情況都將記錄在案。登入失敗的情況屬於安全事件，因為這表示可能有人在嘗試猜解你的密碼

root@vm20201208-0 ~] # lastb root ssh:notty 19.29.15.12 mon feb 1 12:41 - 12:41 (00:00) gao ssh:notty 12.22.75.25 mon feb 1 12:39 - 12:39 (00:00) 【說明】 root 表示：ip為19.29.15.12通過ssh方式，以root使用者登入我的機器失敗（密碼輸錯）

gao 表示：ip為12.22.75.25通過ssh方式，以gao使用者登入我的機器失敗（密碼輸錯）

grep

"failed password" /var/log/secure

grep
"failed password" /var/log/secure |
grep -e -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"
|uniq -c

grep
"accepted" /var/log/secure |
awk''

cat /var/log/secure |
egrep
"useradd"
|grep
"new user"

cat /var/log/secure |
grep
"userdel"

linux系統管理（日誌）

Linux系統管理

Linux 系統管理

linux 系統管理

linux系統管理（日誌）

Linux系統管理

Linux 系統管理

linux 系統管理

相關推薦