linux 系统登录日志

转载于 2024-09-24 16:10:52 发布 · 531 阅读

2 ·

CC 4.0 BY-SA版权

原文链接：https://blog.youkuaiyun.com/chen_jimo_c/article/details/104627183

文章标签：

#安全

linux 专栏收录该内容

20 篇文章

订阅专栏

1、系统登录日志

日志对于安全来说，非常重要，他记录了系统每天发生的各种各样的事情，你可以通过他来检查错误发生的原因，或者受到攻击时攻击者留下的痕迹。

日志主要的功能有：审计和监测。他还可以实时的监测系统状态，监测和追踪侵入者

主要放在 /var/log 目录下

[root@ localhost ~]# ls /var/log
anaconda.ifcfg.log    anaconda.xlog     ConsoleKit  lastlog   sa        yum.log
anaconda.log          anaconda.yum.log  cron        maillog   secure
anaconda.program.log  audit             dmesg       messages  spooler
anaconda.storage.log  boot.log          dmesg.old   ntpstats  tallylog
anaconda.syslog       btmp              dracut.log  prelink   wtmp

2、常用的日志文件

btmp 记录登录失败的信息
lastlog 记录最近几次登录事件和最后一次不成功的登录
messages 从syslog 记录信息（有的链接到syslog文件）
utmp 记录当前登录的每一个用户
whmp 系统登录情况：登入登出

1）登录信息查看

last 查看登录日志内容

[root@ localhost ~]# last
root     pts/0        10.0.0.1         Fri Nov 29 13:36   still logged in   
root     tty1                          Fri Nov 29 11:17   still logged in

清空日志文件 > /var/log/wtmp

[root@ localhost ~]# > /var/log/wtmp 
[root@ localhost ~]# last

wtmp begins Fri Nov 29 13:40:24 2019

2）/var/log/lastlog 查看最后登录信息

记录的是所有的用户什么时候登录过系统

[root@ localhost ~]# lastlog
用户名           端口      来自             最后登陆时间
Username         Port     From             Latest
root             pts/0    10.0.0.1         Fri Nov 29 13:36:47 +0800 2019
bin                                        **从未登录过**
daemon                                     **从未登录过**
adm                                        **从未登录过**
lp                                         **从未登录过**

3）/var/log/btmp 用户登录系统的错误信息

[root@ localhost ~]# lastb             # 查看登录失败的信息
root     ssh:notty    192.168.1.4      Fri Feb 28 14:36 - 14:36  (00:00)    
root     ssh:notty    192.168.1.4      Fri Feb 28 14:36 - 14:36  (00:00)    
root     ssh:notty    192.168.1.4      Fri Feb 28 14:36 - 14:36  (00:00)    
root     ssh:notty    192.168.1.4      Fri Feb 28 14:36 - 14:36  (00:00)    
root     ssh:notty    192.168.1.4      Fri Feb 28 14:36 - 14:36  (00:00)    

btmp begins Fri Feb 28 14:36:32 2020

备注：巡检，发现/var/log/btmp 变得很大。说明有人在对你的服务器进行暴力破解

问题：怎么查看一个文件的大小

ll -h

ls -lh

[root@ localhost ~]# ll -h /var/log/btmp 
-rw-------. 1 root utmp 1.9K 2月  28 14:36 /var/log/btmp

又模拟一下输错命令之后，查看文件大小

[root@ localhost ~]# ll -h /var/log/btmp 
-rw-------. 1 root utmp 4.2K 2月  28 14:39 /var/log/btmp