Linux日志笔记
Linux系统日志一般存放在 /var/log/ 目录下
比较重要的日志如下
| 日志文件 | 说明 |
|---|---|
| /var/log/boot.log | 用于记录系统启动信息的日志,一般用于查看在系统启动时所有相关信息 |
| /var/log/cron | Linux的计划任务相关信息的日志,用来找寻攻击者可能写入的恶意计划任务 |
| /var/log/maillog | 记录邮件信息 |
| /var/log/messages | 记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息,如执行程序、系统错误、启动信息等 |
| /var/log/secure | 记录验证和授权方面的信息,只要涉及账号和密码的程序都会记录,比如SSH登录,su切换用户,sudo授权,以及添加用户和修改用户密码等操作 |
以及
| 日志文件 | 说明 |
|---|---|
| /var/log/btmp | 用于记录错误登录的日志,这个文件是二进制文件,要使用lastb命令查看 |
| /var/log/lastlog | 记录系统中所有用户最后一次登录时间的日志,这个文件是二进制文件,要使用lastlog命令查看 |
| /var/log/wtmp | 永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件,要使用last命令来查看 |
| /var/log/utmp | 记录当前已经登录的用户信息,这个文件会随着用户的登录和注销不断变化,只记录当前登录用户的信息。同样这个文件需要使用w,who,users等命令来查询 |
其中,secure日志尤为重要
统计爆破ip
1 | |
查看登陆成功情况
1 | |
常用命令
lscup 查看cup信息
uname -a或cat /proc/version 操作系统信息
cat /etc/passwd 系统所有账户
awk -F: ‘{if($3==0)print $1}’ /etc/passwd 超级权限账户
cat /etc/passwd | grep ‘/bin/bash’ 可登录账户
lastb | head -n 20 最近20条登录失败信息
lastlog 所有账号最后登录信息
last | head -n 20 最近20条登录信息
ls -lat /etc/init.d/ 启动项
crontab -l 查看计划任务
crontab -u root -l 查看root 用户的任务计划
netstat -antlp 网络连接
ls -lat /proc/**** 查找对应运行程序
top / ps aux 检查进程
chkconfig –list 查看系统中运行的服务
参考
https://blog.csdn.net/weixin_45300266/article/details/123515941
Linux日志笔记
http://wangchenchina.github.io/2023/02/01/Linux日志笔记/