Linux日志笔记

Linux系统日志一般存放在 /var/log/ 目录下

比较重要的日志如下

日志文件	说明
/var/log/boot.log	用于记录系统启动信息的日志，一般用于查看在系统启动时所有相关信息
/var/log/cron	Linux的计划任务相关信息的日志，用来找寻攻击者可能写入的恶意计划任务
/var/log/maillog	记录邮件信息
/var/log/messages	记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息，如执行程序、系统错误、启动信息等
/var/log/secure	记录验证和授权方面的信息，只要涉及账号和密码的程序都会记录，比如SSH登录，su切换用户，sudo授权，以及添加用户和修改用户密码等操作

以及

日志文件	说明
/var/log/btmp	用于记录错误登录的日志，这个文件是二进制文件，要使用lastb命令查看
/var/log/lastlog	记录系统中所有用户最后一次登录时间的日志，这个文件是二进制文件，要使用lastlog命令查看
/var/log/wtmp	永久记录所有用户的登录、注销信息，同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件，要使用last命令来查看
/var/log/utmp	记录当前已经登录的用户信息，这个文件会随着用户的登录和注销不断变化，只记录当前登录用户的信息。同样这个文件需要使用w,who,users等命令来查询

其中，secure日志尤为重要

统计爆破ip

grep -i Failed /var/log/secure | awk '{print $(NF-3)}' | sort | uniq -c | sort -rn 

查看登陆成功情况

grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}' 

常用命令

lscup 查看cup信息

uname -a或cat /proc/version 操作系统信息

cat /etc/passwd 系统所有账户

awk -F: ‘{if($3==0)print $1}’ /etc/passwd 超级权限账户

cat /etc/passwd | grep ‘/bin/bash’ 可登录账户

lastb | head -n 20 最近20条登录失败信息

lastlog 所有账号最后登录信息

last | head -n 20 最近20条登录信息

ls -lat /etc/init.d/ 启动项

crontab -l 查看计划任务

crontab -u root -l 查看root 用户的任务计划

netstat -antlp 网络连接

ls -lat /proc/**** 查找对应运行程序

top / ps aux 检查进程

chkconfig –list 查看系统中运行的服务

参考

https://blog.csdn.net/weixin_45300266/article/details/123515941