服务器日志分析
0x01 Linux服务器日志分析
1、Linux常见系统的日志
/var/log/auth.log ----------包含系统授权信息,包括用户登录和使用的权限机制等
/var/log/boot.log ----------包含系统启动时的日志
/var/log/wtmp ----------包含登录信息
/var/log/faillog ----------包含用户登录失败信息
2、Linux常见软件的日志
/var/log/mysql/error.log ------MySQL数据库默认的错误日志
/var/log/nginx/access.log ------nginx服务器默认的访问日志
/var/log/nginx/error.log ------nginx服务器默认的错误日志
0x02 Linux日志分析实例
1、分析系统授权信息
通过分析/var/log/auth.log文件,可以得知当有第三方非法用户尝试登陆系统时,我们可以分析出错误登陆的时间信息,如下图所示,得知12:32:36有人尝试使用sudo并且当前用户的密码正确输入,在12:32:50有人尝试登陆等系统失败的信息。
2、分析系统启动日志
通过分析/var/log/boot.log可以得知系统启动过程中有什么服务开机自启,如下图所示可以得知MySQL被设置了开机自启动