Linux日志审计

最新推荐文章于 2024-07-04 17:59:34 发布

烟雨醉沉浮

最新推荐文章于 2024-07-04 17:59:34 发布

阅读量5k

点赞数 2

分类专栏：应急响应文章标签： linux 日志审计 Linux系统安全

本文链接：https://blog.csdn.net/qingzhantianxia/article/details/124824145

版权

应急响应专栏收录该内容

12 篇文章 1 订阅

订阅专栏

Linux日志审计

常用命令 find、grep 、egrep、awk、sed

Linux 中常见日志以及位置

位置	名称
/var/log/cron	记录了系统定时任务相关的日志
/var/log/auth.log	记录验证和授权方面的信息
/var/log/secure	同上，只是系统不同
/var/log/btmp	登录失败记录使用lastb命令查看
/var/log/wtmp	登录失成功记录使用last命令查看
/var/log/lastlog	最后一次登录使用lastlog命令查看
/var/run/utmp	使用 w、who、users 命令查看

/var/log/auth.log、/var/log/secure记录验证和授权方面的信息，只要涉及账号和密码的程序都会记录，比如SSH登录，su切换用户，sudo授权，甚至添加用户和修改用户密码都会记录在这个日志文件中

常用审计命令

//定位多少IP在爆破root账号
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more  

//定位有多少IP在爆破
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c

//爆破用户名的字典是什么
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

//查看登录成功的IP有哪些
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

//登录成功的日志、用户名、IP
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

烟雨醉沉浮

关注

2
点赞
踩
21

收藏

觉得还不错? 一键收藏
0
评论
Linux日志审计

Linux日志审计常用命令 find、grep 、egrep、awk、sedLinux 中常见日志以及位置位置名称/var/log/cron记录了系统定时任务相关的日志/var/log/auth.log记录验证和授权方面的信息/var/log/secure同上，只是系统不同/var/log/btmp登录失败记录使用lastb命令查看/var/log/wtmp登录失成功记录使用last命令查看/var/log/lastlog最后一次登录
复制链接

扫一扫

专栏目录