linux wtmp 日志查看,linux 利用wtmp 日志记录并分析用户登陆统计

最新推荐文章于 2024-06-20 08:42:53 发布
最新推荐文章于 2024-06-20 08:42:53 发布
阅读量640 收藏
点赞数
文章标签: linux wtmp 日志查看

1.在linux /var/log/wtmp 日志中以二进制的形式记录了用户登陆的时间和登陆IP,用who 命令可以查看

who /var/log/wtmp

mtpt     pts/0        2014-02-07 08:43 (192.168.0.5)

yunji    pts/0        2014-02-08 09:29 (192.168.0.8)

langshi  pts/1        2014-02-08 10:54 (192.168.0.7)

fanghui  pts/0        2014-02-10 09:07 (192.168.0.11)

2.通过shell脚本可以分析出用户名,登陆时间,次数以及登陆ip

以html 格式输出,代码如下

#!/bin/bash

dt=$( date -dlast-day +%Y-%m-%d )

mkdir -p /usr/local/src/shellcode

u=('echo"$@"')

t=('echo"$@"')

i=('echo"$@"')

ur=('echo"$@"')

ti=('echo"$@"')

ip=('echo"$@"')

ci=('echo"$@"')

s=0

df=$(who /var/log/wtmp |grep "$dt"|awk ' { print $1 } '|sort |uniq|wc -l) #不同用户的个数

touch /usr/local/src/shellcode/ti.txt

touch /usr/local/src/shellcode/ip.txt

getUsermessage()

{

who /var/log/wtmp |grep "$dt" > /usr/local/src/shellcode/userlist

m=0

while read line

do

u[$m]=$( echo  $line |awk ' { print $1  } ' )

t[$m]=$( echo  $line |awk ' { print $4  } ' )

i[$m]=$( echo  $line |awk '{ print $5 } '| sed -n "s/(//p"|sed -n "s/)//p"   )

m=$[ $m + 1 ]

done < /usr/local/src/shellcode/userlist

}

getusername()

{

who /var/log/wtmp |grep "$dt"|awk ' { print $1 } ' |sort|uniq  >/usr/local/src/shellcode/users

cat>/usr/local/src/shellcode/report.html<

序号时间用户登陆次数登陆时间登陆地址

eof

while read line

do

num=0

tm=0

pi=0

cat /dev/null > /usr/local/src/shellcode/ti.txt

cat /dev/null > /usr/local/src/shellcode/ip.txt

for (( n=0;n

do

usr=${u[$n]}

if [  "$line" = "$usr" ]

then

let num++

echo ${t[$n]}>> /usr/local/src/shellcode/ti.txt

echo ${i[$n]}>> /usr/local/src/shellcode/ip.txt

fi

done

ci[$s]=$num

ur[$s]=$line

echo ${ur[$s]}

echo ${ci[$s]}

while read line

do

tm+=$line+

done

ti[$s]=$tm

echo "hello ${ti[$s]}"

cat /dev/null >/usr/local/src/shellcode/ti.txt

while read line

do

pi+=$line+

done < /usr/local/src/shellcode/ip.txt

ip[$s]=$pi

echo "hello ${ip[$s]}"

cat >>/usr/local/src/shellcode/report.html<$s$dt${ur[$s]}${ci[$s]}${ti[$s]}${ip[$s]}

eof

let s++

done < /usr/local/src/shellcode/users

cat >>/usr/local/src/shellcode/report.html <

here

}

report()

{

i=0

cat>/usr/local/src/shellcode/report.html<

序号时间用户登陆次数登陆时间登陆地址

eof

for (( ;i

do

echo $i

echo ${ur[$i]}

cat >>/usr/local/src/shellcode/report.html<$i2013-11-27${ur[$i]}${ci[$i]}${ti[$i]}${ip[$i]}

eof

done

cat >>/usr/local/src/shellcode/report.html <

here

}

getUsermessage

getusername

sed -i "s/+/;/g"  /usr/local/src/shellcode/report.html

不喝酒的阿蓝
关注
linux取证——查看用户登录日志
记录并分享学习安全的知识点..
10-20 5442
Linux查看用户登录日志
linux查看日志命令wtmp,Linux 利用wtmp 日志记录分析用户登陆统计
weixin_32075843的博客
05-01 2754
1.在linux /var/log/wtmp 日志中以二进制的形式记录用户登陆的时间和登陆IP,用who 命令可以查看who /var/log/wtmpmtpt pts/0 2014-02-07 08:43 (192.168.0.5)yunji pts/0 2014-02-08 09:29 (192.168.0.8)langshi pts/1 ...
linux服务器wtmp察看,Linux操作系统服务器日志管理详解
weixin_35342955的博客
05-10 1936
日志对于安全来说,非常重要,他记录了系统每天发生的各种各样的事情,你可以通过他来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。日志主要的功能有:审计和监测。他还可以实时的监测系统状态,监测和追踪侵入者等等。在Linux系统中,有三个主要的日志子系统:连接时间日志--由多个程序执行,把纪录写入到/var/log/wtmp和/var/run/utmp,login等程序更新wtmp和utmp文件,...
wtmp日志读取
禹鼎侯的博客
06-16 2803
之前遇到一个AIX服务器登录不上,但是能ping通的事情。一开始我怀疑是sshd服务坏掉了,但是使用telnet也无法登录。好在这台机器所在的机房就在我隔壁,于是外接显示器,直接上机操作。好在直接通过物理介质还是能登录得上去的。上去一看,好家伙,直接提示根目录磁盘不足了。于是就查跟目录下都有哪些东西占用了比较大的空间。不看不知道,一看吓一跳,根目录下一共3.2G/var/log下一个wtmp文件就占了2.8G。那么这个wtmp是啥?能不能删除呢?查了一下资料,才知道这个wtmp
查看wtmp文件内容or查看系统登录记录
WOOOLILI
06-03 1362
原文:http://blog.sina.com.cn/s/blog_49f8dc400100shig.html /var/log/wtmp文件的作用   /var/log/wtmp也是一个二进制文件,记录每个用户的登录次数和持续时间等信息。   查看方法:   可以用last命令输出当中内容: [root@centos ~]# last  root pts/1 :0.0 Thu
Linux 查看登录日志
最新发布
xiedaimaihencai的博客
06-20 2286
Linux查看/var/log/wtmp文件查看可疑IP登陆日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加,该文件的大小也会越来越大,增加的速度取决于系统用户登录的次数。该日志文件可以用来查看用户的登录记录,last命令就通过访问这个文件获得这些信息,并以反序从后向前显示用户的登录记录,last也能根据用户、终端tty或时间显示相应的记录查看/var/log/secure文件寻找可疑IP登陆次数。
查看wtmp文件内容
weixin_34062469的博客
04-28 1373
1./var/log/wtmp文件的作用/var/log/wtmp也是一个二进制文件,记录每个用户的登录次数和持续时间等信息!2.查看方法:可以用last命令输出当中内容[root@localhost ~]# last root pts/0 192.168.1.106 Fri Jul 5 04:31 still logged in ro...
利用系统登陆日志wtmp和btmp取证
03-04
利用python编写的一个获取linux操作系统登陆日志小程序。主要是用linux的shell语言,来获取系统的登陆日志。异常登陆选项是获取btmp日志
通过看日志,找出linux关机,重启是哪个进程干的,是哪个用户干的.zip
01-11
1. **last命令**:`last`命令用于查看用户的登录和注销记录,包括关机和重启信息。执行`last reboot`会显示最近的重启记录,而`last -x`会提供更详细的关机或重启过程,包括涉及的命令和用户。例如: - `last ...
Linux系统日志全面分析
02-09
Linux系统日志是指Linux系统中记录操作记录和事件的日志文件,它们可以保存几乎所有的操作记录,并可以从中检索出我们需要的信息。Linux系统拥有非常灵活和强大的日志功能,可以根据日志的类别和优先级将日志保存到...
WTMParse:用于解析类 Unix WTMP 文件的 Python 脚本-开源
07-19
最初用于取证检查的 Python 脚本,用于解析来自类 Unix 操作系统的 WTMP 文件,并生成一个 CSS 样式的 HTML 报告,其中包含登录终端、用户名、日志开始日期和登录时间/日期。 适用于死后法医检查或作为获取“最后”信息的一种方式,其中您无法启动有问题的机器但可以获取 wtmp
linux 查看二进制日志文件,linux系统常用日志以及二进制登录日志/var/log/wtmp文件的查看方法...
weixin_32821579的博客
05-09 997
系统日志记录着系统运行中的记录信息,在服务或者系统发生故障的时候,通过查询系统日志,可以帮助我们诊断。系统日志可以预警安全问题,系统日志一般都存放在/var/log目录下[root@edu-web2 /]# cd /var/log[root@edu-web2 log]# pwd;ls -l wtmp secure dmesg messages lastlog maillog/var/log-rw-...
linux 日志文件utmp、wtmp、lastlog、messages介绍
whatday的专栏
08-26 7286
1、有关当前登录用户的信息记录在文件utmp中;使用who /var/log/wtmp 查看 2、登录进入和退出纪录在文件wtmp中;使用w /var/log/wtmp 查看 3、最后一次登录文件可以用lastlog命令察看; 4、messages======从syslog中记录信息 注意:wtmp和utmp文件都是二进制文件,他们不能被诸如tail命令剪贴或合并(使用cat命令)。用户 需要...
linux 脚本 devnull,/dev/null在shell脚本中的含义是什么?
weixin_39778815的博客
05-01 610
问题描述但是我遇到了第一个脚本:cd /var/logcat /dev/null > messagescat /dev/null > wtmpecho "Log files cleaned up."第2行和第3行在Ubuntu中做了什么(我理解cat)?它只适用于其他Linux发行版吗?以root身份运行此脚本后,我得到的输出是Log files cleaned up.但/var/lo...
后渗透-痕迹清理
qq_44657899的博客
11-12 1005
修改文件时间戳 有时我们登陆到服务器,对它的⽂件进行了修改,修改后的⽂件的时间戳会更新到最新的 时间,那么这样就会引起管理员的注意。 因此我们需要吧那个⽂件的时间戳给修改成其他时间! Powershell命令 $(DATE) 表示当前日期和时间; $(Get-Date) 同$(DATE),表示当前日期和时间; $(Get-Date "MM/DD/YYYY HH24:MI:SS") 表示指定的日期和时间; $(Get-Item abc.txt) 表示获取文件的句柄; $(Get-Item abc.txt).c
Linux 排查必看文件
SHELLCODE_8BIT的博客
11-24 1254
一个常见于Red Hat 系统(如CentOS、Fedora)的安全日志文件,用于记录系统的安全相关事件,包括用户认证、授权和安全相关的事件,如 SSH,telnet,ftp 登录的成功和失败尝试。登录日志通常记录用户的登录和注销活动,包括登录时间、来源IP地址、使用的用户名等信息。用户 home 目录下的隐藏文件,记录了该用户在终端中执行过的命令,可以永久保存用户的命令历史。Ubuntu 系统下的,用于记录系统的安全相关事件,包括用户认证、授权和安全相关的事件,如SSH登录的成功和失败尝试。
Linux日志管理:wtmp与utmp详解及进程监控
管理员可以使用"who"、"w"、"last", "lastlog", "finger", "id"以及"ac"等命令来获取用户登录信息,如登录时间、登录终端、IP地址等,如例子所示,通过"ac"命令可以查看用户连接时间的累计和每日统计,有助于追踪...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值