Linux系統提供了各種日誌文件,通過這些日誌文件,管理員可以監控自己所建立的保護機制,還可以通過日誌觀察是否存在系統被入侵的信息。今天跟大家分享日常比較常用的一些日誌:
查看當前登錄的用戶-who
使用who命令可以查看當前已經登錄操作系統的用戶信息,包括用戶名,登錄時間和客戶端IP等,命令執行如下:
可以看到,當前有兩個用戶登錄,登錄的時間一樣,IP地址也一樣。who命令除了可以查看當前已經登錄的用戶之外,還可以查看系統其它信息,具體如下:
查看用戶歷史登錄日誌-last
Linux系統中用戶登錄的歷史信息保存在兩個文件中/var/log/wtmp和/var/log/btmp。其中wtmp保存的是用戶登錄成功的信息,btmp保存的是用戶登錄失敗的信息,且這兩個文件必須通過last和lastb命令來查看。
查看登錄成功的信息:
查看用戶登錄失敗的信息:
統計登錄成功的次數,可以使用以下命令:
last |awk '{print $3}' | sort | uniq -c |sort -rn
secure安全日誌-用戶驗證,su切換,用戶管理相關的日誌信息,日誌路徑/var/log/secure,截圖部分內容進行查看:
有什麼信息,大家自己可以測試和查看哈,包括用戶登錄的時間、ip以及一些用戶操作等。
messages,保存由syslogd記錄的信息,找到xineted網絡服務信息等,日誌路徑是var/log/messages:
cron日誌記錄cron的定時任務信息,日誌路徑/var/lg/cron,包括任務發生的時間,用戶,進程id以及執行的操作命令等:
history日誌記錄用戶輸入的所有命令,在每個用戶的家目錄下的.bash_history文件中,保存用戶輸入的所有命令:
當然,對於日誌,我們也要注重備份和保留,便於日後的分析和行為跟蹤,感謝閱讀!
閱讀更多 一不小心7332789 的文章
