您当前的位置:首页 > 计算机 > 安全防护

Linux日志审计

时间:06-05来源:作者:点击数:
城东书院 www.cdsy.xyz

Linux日志审计

常用命令 find、grep 、egrep、awk、sed

Linux 中常见日志以及位置
位置 名称
/var/log/cron 记录了系统定时任务相关的日志
/var/log/auth.log 记录验证和授权方面的信息
/var/log/secure 同上,只是系统不同
/var/log/btmp 登录失败记录 使用lastb命令查看
/var/log/wtmp 登录失成功记录 使用last命令查看
/var/log/lastlog 最后一次登录 使用lastlog命令查看
/var/run/utmp 使用 w、who、users 命令查看

/var/log/auth.log、/var/log/secure记录验证和授权方面的信息,只要涉及账号和密码的程序都会记录,比如SSH登录,su切换用户,sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中

常用审计命令
//定位多少IP在爆破root账号
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more  

//定位有多少IP在爆破
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c

//爆破用户名的字典是什么
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

//查看登录成功的IP有哪些
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

//登录成功的日志、用户名、IP
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}' 

城东书院 www.cdsy.xyz
方便获取更多学习、工作、生活信息请关注本站微信公众号城东书院 微信服务号城东书院 微信订阅号
推荐内容
相关内容
栏目更新
栏目热门