Linux系统日志排查

最新推荐文章于 2024-07-14 12:45:00 发布
最新推荐文章于 2024-07-14 12:45:00 发布
阅读量478 收藏
点赞数
分类专栏: Linux 文章标签: linux 服务器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46130027/article/details/131602914
版权
文章介绍了如何通过Linux系统的日志文件进行安全排查,特别是关注登入验证日志,如/var/log/auth.log,用于追踪登录失败次数和攻击者IP。通过`grep`命令可以统计登录失败次数,从而识别可能的攻击。此外,还提到统计攻击者IP并按攻击次数排列,以确定主要威胁源。
摘要由CSDN通过智能技术生成

Linux篇系统日志排查

日志文件

日志文件是记录|系统运行信息的文件,Linux系统内记载很多不同类型的日志,例如:

  1. Linux内核消息
  2. 登入事件
  3. 程序错误日志
  4. 软件安装日志

以上日志内记录系统内一些关键的信息,通过这些日志内记录的信息,可以帮助安全人员寻找到攻击者蛛丝马迹。

常见的日志信息

/var/log/demsg 内核的一些信息
/var/log/auth.log 此文件中包含系统授权信息,以及用户登录和使用的身份验证机制
/var/log/boot/log 包含系统启动时记录的信息
/var/log/daemon.log 正在与运行的各种系统后台守护程序将信息记录到此文件中
/var/log/kern.lg 包含内核记录的信息。有助于解决定制内核的故障
/var/log/lastlog 显示所有用户的最近登录信息。这不是ascii文件。管理员可以使用lastlog命令查看此文件的内容。
/var/log/maillog和/var/log/mail.log 记录系统上运行的邮件服务器的信息。例如,sendmail将有关所有已发送项目的信息记录到此文件中
/var/log/user.log 包含有关所有用户级日志的信息
/var/log/secure 包含与身份验证和授权权限相关的信息。例如,sshd在这里记录所有信息,包括登录失败。

举例说明

登入验证日志

  1. 不知道日志的每一行是做什么的,去搜索。
  2. 既然是登入验证肯定会有成功和失败,那么什么状态是成功或失败。
  3. 除成功失败外是不是包含其他信息,如:用户名、登入来源IP地址。

登入失败次数

vulab@sechelper:/var/log$ sudo grep "Failed password" auth.log | wc -l

如果统计到的登录失败次数特别多,那么能说明是遭到攻击了。

统计攻击者IP个数

在这里插入图片描述

攻击次数排列(由高到低)

在这里插入图片描述
参考资料【应急响应】Linux篇-排查系统日志

甜瓜瓜哥
关注
专栏目录
【应急响应篇】应急响应之日志排查方法,Linux
大河之犬的博客
05-18 1032
目录下,有 catalina.out、catalina.YYYY-MM- DD.log、localhost.YYYY-MM-DD.log、localhost_access_log.YYYY-MM-DD.txt、host-manager.YYYY-MM-DD.log、manager.YYYY-MM-DD.log 等几类日志。除了可对 Windows 和 Linux 系统日志进行分析,还可对 Web 日志间件日志、数据库日志、FTP 日志等进行分析。在默认情况下,WebLogic 有三种日志,分别是。
最全Linux 应急响应-溯源-系统日志排查
Cwillchris的博客
08-04 1072
黑客入侵系统后一般会将系统日志清空,以达到清理痕迹的作用,如果日志被黑客清空我们就无法通过日志来分析黑客入侵系统后都做了哪些事情,在很多情况下黑客在清理日志的时候都会忽略内存日志。将本次登录的命令写入命令历史文件,命令不是使用了就立即写入到文件的,会现在缓存,用户退出登录时会自动写入文件,-w 命令可以立即写入,-c 命令可以清除当前缓存的命令。创建),但若失败(例如在系统启动早期"/var"尚未挂载),则转而保存在 /run/log/journal 目录(将会被自动按需创建)。...
linux命令排查日志
mrtwenty的博客
04-01 704
好了,笔记记录完毕,以后类似的查找关键字日志及其前后日志都可以按照此步骤排查。备注: 一开始日志时间如果查不到,就查查附近的秒数有没有,减少1秒,就查到了。备注: 利用tail、head 命令 ,就能显示日志指定行数的前后内容了。41224 就是行数。
一文带你看懂Linux日志分析(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
leah126的博客
07-14 3583
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
Linux分析日志及问题排查
user__kk的博客
05-06 1072
在脚本或应用程序,通过syslog库可以自定义写入系统日志。# 使用 syslog 写入自定义日志Linux系统系统日志分析与故障排除是系统管理不可或缺的重要环节。通过各种命令和技术,管理员可以全面了解系统的运行状况,追踪故障原因,确保系统的可靠性和安全性。从基础的日志文件位置、内容查看,到更高级的journalctlLogwatch等工具的使用,再到网络连接、硬件故障、审计以及进程追踪等更为深入的技术,本文提供了系统管理员在面对各种挑战时的应对策略。
Linux日志排查方法
hanlin
09-16 1906
Linux日志排查方法。
linux常用命令
weixin_42660641的博客
10-23 205
linux常用命令查看日志 查看日志 1.业务系统访问量不大 tail -fn100 catalina.log 查询日志尾部最后100行的日志,并且追踪文件; 2.查看服务器启动情况,服务器启动报错,直接看前n行即可 head -n100 catalina.log 查询日志文件的头10行日志; 3.按照关键字查找日志 (知道程序出问题的模块,而且有日志关键字的可以用此方法) <1>.找到发错错误异常的行号 比如我们日志关键字error表示错误 grep “error” -n a
Linux系统日志文件的打印与存储
02-24
本文将深入探讨Linux系统日志文件的打印与存储。 一、日志文件的位置与类型 在Linux系统日志文件通常存储在/var/log目录下,这里包含了多种类型的日志文件: 1. /var/log/messages:主要记录系统级信息和警告...
Linux应急响应-系统日志排查-溯源
m0_73088370的博客
08-28 1015
以空格作为分隔符,来将用户名和ip进行提取(用户登录失败的信息)通过在目录下/secure* 来查看登录的日志。last -n 5 --只看最新的五次登录。通过grep 来将登录失败的用户过滤出来。
操作系统安全:linux系统日志介绍.ppt
06-01
操作系统安全在Linux环境至关重要,而Linux系统日志是监控系统状态和排查问题的重要工具。Linux系统日志由syslog服务管理,它是一个分布式日志记录系统,能够收集和处理来自不同程序的日志信息。syslog服务通常...
0xc0000005 系统应用日志_Linux系统应用日志问题排查的六大套路
weixin_39982236的博客
12-04 181
天下武功,唯快不破。我们在开发工程,遇到不同的问题场景,能够有相应的套路,那我们的工作就能够事半功倍。场景一:过滤出关键字附近的日志因为通常时候我们用grep拿到的日志很少,我们需要查看附近的日志.套路:按行号查看,过滤出关键字附近的日志首先,得到关键日志的行号,cat -n test.log | grep "error" 如得到"error"关键字所在的行号是102行。此时如果我想查看这个关...
Linux查看日志的几种方法总结
热门推荐
AI浩
02-14 1万+
摘要Linux系统查看日志的命令确实多种多样,每个命令都有其特定的用途和优势。常用的命令有:tail、cat、tac、head、echo,grep、less、awk、sed。tail命令主要用于查看文件的末尾内容,特别适用于实时查看日志文件的更新内容。通过-f选项,可以实时监控日志文件的最新内容。例如,会实时显示系统日志的最新条目。另外,-n选项可以用来指定显示的行数,如会显示日志文件的最后100行。cat命令用于显示整个文件的内容。
linux系统日志排故方案,Linux系统运维故障排查
weixin_32154109的博客
04-29 616
一.思路1.处理问题要求2.一般思路二.具体问题1.网络问题(1)网络不通(2)网络很慢2.硬件问题3.操作系统问题(1)系统无法正常启动(2)系统运行慢或死机4.服务或程序问题5.其他一.思路1.处理问题要求:思路清晰、问题明确、快速解决,长时间的积累形成自己的一套解决问题的“反射弧”2.一般思路:(1)重视报错信息:定位基本问题基本方向(2)查询日志文件:报错信息有时只是问题的表象,想要更具体...
Linux系统日志管理:查看和管理系统日志文件
weixin_39372311的博客
07-02 2697
var/log目录是Linux系统存放日志文件的默认目录。该目录下包含了系统和应用程序生成的各种日志文件。接下来,我们将逐一介绍这些日志文件的用途及其查看和管理方法。本文详细介绍了/var/log目录下的常见日志文件及其用途,介绍了查看和管理日志文件的常用命令,并提供了日志文件管理和分析的相关方法。掌握这些技能,对于系统管理员进行系统维护和故障排查至关重要。希望本文能对您有所帮助。
linux系统日志和故障排除方法,在Linux系统进行硬件故障问题排查方法步骤
weixin_33416318的博客
05-02 623
Linux 服务器在物理机、虚拟化、私有云、公共云和混合云等许多不同种类的基础设施运行着关键的业务应用程序。对于 Linux 系统管理员来说,了解如何管理 Linux 硬件基础设施(包括与 网络、存储、Linux 容器相关的软件定义功能)和 Linux 服务器上的多种工具非常重要。在 Linux 上进行排除和解决与硬件相关的问题可能需要一些时间。即使是经验丰富的系统管理员,有时也会花费数小时来解...
linux查看异常日志
weixin_42230479的博客
03-03 545
nohup.out为日志文件名称 cat nohup.out |grep Exception
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 1096
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
linux 日志排查
MoLi的博客
03-18 389
例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。提示:以下是本篇文章正文内容,下面案例可供参考调用脚本。
Linux系统故障排查艺术
在第一章“Best Practices and Initial Investigation”,作者强调了问题定位的初步调查步骤和最佳实践,包括收集系统日志、检查硬件状态、了解系统负载和性能指标等,这些都是解决任何系统问题的基础。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值