本篇內(nèi)容主要講解“Linux日志舉例分析”��,感興趣的朋友不妨來看看���。本文介紹的方法操作簡(jiǎn)單快捷,實(shí)用性強(qiáng)�����。下面就讓小編來帶大家學(xué)習(xí)“Linux日志舉例分析”吧!
鹽邊網(wǎng)站建設(shè)公司成都創(chuàng)新互聯(lián)公司,鹽邊網(wǎng)站設(shè)計(jì)制作��,有大型網(wǎng)站制作公司豐富經(jīng)驗(yàn)�。已為鹽邊1000多家提供企業(yè)網(wǎng)站建設(shè)服務(wù)。企業(yè)網(wǎng)站搭建\外貿(mào)網(wǎng)站建設(shè)要多少錢�,請(qǐng)找那個(gè)售后服務(wù)好的鹽邊做網(wǎng)站的公司定做���!
1 �����、日志簡(jiǎn)介
日志默認(rèn)存放位置:/var/log/
查看日志配置情況:more /etc/rsyslog.conf
| 日志文件 | 說明 | | /var/log/cron | 記錄了系統(tǒng)定時(shí)任務(wù)相關(guān)的日志 |
| /var/log/cups | 記錄打印信息的日志 |
| /var/log/dmesg | 記錄了系統(tǒng)在開機(jī)時(shí)內(nèi)核自檢的信息���,也可以使用dmesg命令直接查看內(nèi)核自檢信息 |
| /var/log/mailog | 記錄郵件信息 |
| /var/log/message | 記錄系統(tǒng)重要信息的日志����。這個(gè)日志文件中會(huì)記錄Linux系統(tǒng)的絕大多數(shù)重要信息��,如果系統(tǒng)出現(xiàn)問題時(shí)�����,首先要檢查的就應(yīng)該是這個(gè)日志文件 |
| /var/log/btmp | 記錄錯(cuò)誤登錄日志���,這個(gè)文件是二進(jìn)制文件�����,不能直接vi查看���,而要使用lastb命令查看 |
| /var/log/lastlog | 記錄系統(tǒng)中所有用戶最后一次登錄時(shí)間的日志���,這個(gè)文件是二進(jìn)制文件,不能直接vi�����,而要使用lastlog命令查看 |
| /var/log/wtmp | 永久記錄所有用戶的登錄�、注銷信息,同時(shí)記錄系統(tǒng)的啟動(dòng)�、重啟、關(guān)機(jī)事件�����。同樣這個(gè)文件也是一個(gè)二進(jìn)制文件��,不能直接vi��,而需要使用last命令來查看 |
| /var/log/utmp | 記錄當(dāng)前已經(jīng)登錄的用戶信息�����,這個(gè)文件會(huì)隨著用戶的登錄和注銷不斷變化���,只記錄當(dāng)前登錄用戶的信息�����。同樣這個(gè)文件不能直接vi�����,而要使用w,who,users等命令來查詢 |
| /var/log/secure | 記錄驗(yàn)證和授權(quán)方面的信息�,只要涉及賬號(hào)和密碼的程序都會(huì)記錄��,比如SSH登錄��,su切換用戶�����,sudo授權(quán)����,甚至添加用戶和修改用戶密碼都會(huì)記錄在這個(gè)日志文件中 |
比較重要的幾個(gè)日志: 登錄失敗記錄:/var/log/btmp //lastb 最后一次登錄:/var/log/lastlog //lastlog 登錄成功記錄: /var/log/wtmp //last 登錄日志記錄:/var/log/secure
目前登錄用戶信息:/var/run/utmp //w、who��、users
歷史命令記錄:history 僅清理當(dāng)前用戶: history -c
2���、 日志分析技巧
A��、常用的shell命令
Linux下常用的shell命令如:find����、grep 、egrep���、awk�����、sed
小技巧:
1��、grep顯示前后幾行信息:
標(biāo)準(zhǔn)unix/linux下的grep通過下面參數(shù)控制上下文:
grep -C 5 foo file 顯示file文件里匹配foo字串那行以及上下5行
grep -B 5 foo file 顯示foo及前5行
grep -A 5 foo file 顯示foo及后5行
查看grep版本號(hào)的方法是
grep -V
2���、grep 查找含有某字符串的所有文件
grep -rn "hello,world!"
* : 表示當(dāng)前目錄所有文件,也可以是某個(gè)文件名
-r 是遞歸查找
-n 是顯示行號(hào)
-R 查找所有文件包含子目錄
-i 忽略大小寫
3�、如何顯示一個(gè)文件的某幾行:
cat input_file | tail -n +1000 | head -n 2000
#從第1000行開始,顯示2000行���。即顯示1000~2999行
4��、find /etc -name init
//在目錄/etc中查找文件init
5�����、只是顯示/etc/passwd的賬戶
`cat /etc/passwd |awk -F ':' '{print $1}'`
//awk -F指定域分隔符為':'�,將記錄按指定的域分隔符劃分域,填充域��,$0則表示所有域,$1表示第一個(gè)域,$n表示第n個(gè)域�。6、sed -i '153,$d' .bash_history
刪除歷史操作記錄�����,只保留前153行
B���、日志分析技巧
A、/var/log/secure
1�����、定位有多少IP在爆破主機(jī)的root帳號(hào):
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
定位有哪些IP在爆破:
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c
爆破用戶名字典是什么�����?
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr
2、登錄成功的IP有哪些:
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
登錄成功的日期��、用戶名�、IP:
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
3、增加一個(gè)用戶kali日志:
Jul 10 00:12:15 localhost useradd[2382]: new group: name=kali, GID=1001
Jul 10 00:12:15 localhost useradd[2382]: new user: name=kali, UID=1001, GID=1001, home=/home/kali
, shell=/bin/bash
Jul 10 00:12:58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali
#grep "useradd" /var/log/secure
4����、刪除用戶kali日志:
Jul 10 00:14:17 localhost userdel[2393]: delete user 'kali'
Jul 10 00:14:17 localhost userdel[2393]: removed group 'kali' owned by 'kali'
Jul 10 00:14:17 localhost userdel[2393]: removed shadow group 'kali' owned by 'kali'
# grep "userdel" /var/log/secure
5、su切換用戶:
Jul 10 00:38:13 localhost su: pam_unix(su-l:session): session opened for user good by root(uid=0)
sudo授權(quán)執(zhí)行:
sudo -l
Jul 10 00:43:09 localhost sudo: good : TTY=pts/4 ; PWD=/home/good ; USER=root ; COMMAND=/sbin/shutdown -r now2�����、/var/log/yum.log
軟件安裝升級(jí)卸載日志:
yum install gcc
[root@bogon ~]# more /var/log/yum.log
Jul 10 00:18:23 Updated: cpp-4.8.5-28.el7_5.1.x86_64
Jul 10 00:18:24 Updated: libgcc-4.8.5-28.el7_5.1.x86_64
Jul 10 00:18:24 Updated: libgomp-4.8.5-28.el7_5.1.x86_64
Jul 10 00:18:28 Updated: gcc-4.8.5-28.el7_5.1.x86_64
Jul 10 00:18:28 Updated: libgcc-4.8.5-28.el7_5.1.i686
到此����,相信大家對(duì)“Linux日志舉例分析”有了更深的了解,不妨來實(shí)際操作一番吧�����!這里是創(chuàng)新互聯(lián)網(wǎng)站����,更多相關(guān)內(nèi)容可以進(jìn)入相關(guān)頻道進(jìn)行查詢,關(guān)注我們�����,繼續(xù)學(xué)習(xí)!
分享標(biāo)題:Linux日志舉例分析
文章網(wǎng)址:
http://weahome.cn/article/goehss.html
重慶分公司
重慶分公司
