【日志审计与分析】linux 下使用grep 命令进行日志筛选

已于 2022-04-16 14:47:07 修改
阅读量5k 收藏 13
点赞数 9
分类专栏: 日志分析 文章标签: grep Linux 登录日志 环境变量 备份脚本
于 2022-04-03 18:20:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46447549/article/details/123935196
版权

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

实验目的:

使用linux 下grep 命令筛选登录日志

实验环境:

linux_Centos7虚拟机

注:本实验最好用root用户登录,否则可能会出现没有权限访问日志文件的情况

一、练习使用grep命令

1.grep命令的作用

grep 即 global search regular expression(RE) and print out the line,意为全面搜索正则表达式并把它按行打印出来。简言之,grep是一种强大的文本搜索工具,它能使用正则表达式搜索文本,并把匹配的行打印出来。
因此,本实验中可以使用grep命令进行日志筛选。

2.grep命令的常用参数

grep命令的常用格式为:grep [选项] ”模式“ [文件]
常用选项:

-E :开启扩展(Extend)的正则表达式。

-i :忽略大小写(ignore case)。

-v :反过来(invert),只打印没有匹配的,而匹配的反而不打印。

-n :显示行号

-w :被匹配的文本只能是单词,而不能是单词中的某一部分,如文本中有liker,而我搜寻的只是like,就可以使用-w选项来避免匹配liker

-c :显示总共有多少行被匹配到了,而不是显示被匹配到的内容,注意如果同时使用-cv选项是显示有多少行没有被匹配到。

-o :只显示被模式匹配到的字符串。

–color :将匹配到的内容以颜色高亮显示。

-A n:显示匹配到的字符串所在的行及其后n行,after

-B n:显示匹配到的字符串所在的行及其前n行,before

-C n:显示匹配到的字符串所在的行及其前后各n行,context

二、使用grep筛选出linux系统的成功和失败登录日志

1.登陆成功

Linux用户登录信息放在三个文件中:

1  /var/run/utmp:记录当前正在登录系统的用户信息,
2  /var/log/wtmp:记录当前正在登录和历史登录系统的用户信息,
3  /var/log/btmp:记录失败的登录尝试信息,

但这三个文件都是二进制数据文件,不能像筛选一般文本文件一样来筛选它们。取而代之的是,可以将其内容输出成为文本格式,然后再用grep命令进行筛选,本实验使用wtmp文件筛选用户成功登录的信息。

实验步骤如下:
①/var/log/wtmp文件原本为二进制乱码:
在这里插入图片描述

②将/var/log/wtmp文件转为一般文本文件并查看:

utmpdump /var/log/wtmp > test_wtmp.txt

sudo vim test_wtmp.txt

;
在这里插入图片描述

在这里插入图片描述
③用grep命令筛选出所有以root用户成功登录的记录,并输出那一行:

grep 'root' test_wtmp.txt

在这里插入图片描述

注:此处原本想用同样的方法打开btmp文件,但是系统btmp文件为空,原因不明,因此失败的登录情况从secure文件中筛选查看。

2.登录失败

/var/log/secure是linux的安全日志, 一般用来记录安全相关的信息,记录最多的是哪些用户登录服务器的相关日志,如果该文件很大,说明有人在暴力破解你的 root 密码。

①用命令 sudo vim /var/log/secure 可以查看该文件:
这个日志中的记录可以分为几个字段来描述这些事件信息:
1、事件的日期和时间
2、事件的来源主机 ( 通常是写主机名 )
3、产生这个事件的程序[进程号]
4、实际的日志信息
在这里插入图片描述

②常见信息:

session opened for user root    # 表示root用户开启了会话(也就是开启了终端)
session closed for user root    # 表示root用户关闭了会话(也就是关闭了终端)

在这里插入图片描述

 password check failed for users # 登录失败

在这里插入图片描述
③用grep命令筛选出所有用户登录失败的记录,并输出那一行:

grep ' password check failed for user' secure

在这里插入图片描述

三、思考:如何定期备份日志?

可以使用定时运行备份脚本(.sh)的方法对日志文件进行定期备份,脚本主要实现的功能是把旧的日志文件复制一份放到新的路径下,然后改个名字就可以了。
一个简单的备份脚本如下:

#!/bin/bash

#保存备份个数,备份31天数据
number=31
#备份保存路径
backup_dir=/root/logbackup
#日期  针对日志的话 我这里是第二天凌晨0点保存前一天的日志文件
dd=`date -d "yesterday" +%Y-%m-%d`
#源文件日志路径
bean_dir=/opt/spring/logs

#如果文件夹不存在则创建
if [ ! -d $backup_dir ]; 
then     
    mkdir -p $backup_dir; 
fi

#简单写法cp -r /opt/spring/logs/demo.info.$dd.0.log  /root/logbackup/backup_log-$dd.log
# 我的源文件名  demo.info.2021-01-01.0.log   这里根据自己的日志文件名称进行修改
cp -r $bean_dir/demo.info.$dd.0.log  $backup_dir/backup_log-$dd.log

#写创建备份日志
echo "create $backup_dir/backup_log-$dd.log" >> $backup_dir/log.txt

#找出需要删除的备份
delfile=`ls -l -crt  $backup_dir/*.log | awk '{print $9 }' | head -1`

#判断现在的备份数量是否大于$number
count=`ls -l -crt  $backup_dir/*.log | awk '{print $9 }' | wc -l`

if [ $count -gt $number ]
then
  #删除最早生成的备份,只保留number数量的备份
  rm $delfile
  #写删除文件日志
  echo "delete $delfile" >> $backup_dir/log.txt
fi

更多步骤可以参考https://blog.csdn.net/weixin_44577669/article/details/122405534

四、查阅资料

1.什么是linux环境变量

①环境变量一般是指操作系统中指定操作系统运行环境的一些参数。它相当于一个指针,想要查看变量的值,需要加上“$”。
②在Linux中的变量,按作用的范围分可以分为环境变量和本地变量:环境变量:相当于全局变量,存在于所有的Shell中,具有继承性;本地变量:相当于局部变量只存在当前Shell中,本地变量包含环境变量,非环境变量不具有继承性。
按生存周期分可以分为永久变量和暂时变量:永久:需要修改配置文件,变量永久生效;暂时:使用export定义,关闭Shell后失效。
③常见的环境变量有:
PATH:该变量指定命令的搜索路径。它表示在当前目录下执行的每一条指令的搜索路径,每个目录以冒号隔开。当执行一条指令时,系统就会从系统文件中去寻找,找到了就执行;否则不执行。
在这里插入图片描述
HOME:该变量指定用户的主工作目录,即用户登录到Linux系统时,默认的目录。
在这里插入图片描述
HISTSIZE:该变量指定保存历史命令的数目。
在这里插入图片描述

LOGNAME:该变量指定显示用户的登录名。
在这里插入图片描述

HOSTNAME:该变量指定主机名
在这里插入图片描述

SHELL:该变量指定用户当前使用的解析器。
在这里插入图片描述

2.设置环境变量的方法

环境变量通俗讲是操作系统或程序执行时候默认设定的参数,比如path路径变量就是当要执行某个命令或程序的时候默认寻找的路径。
环境变量有很多种类,其中,永久变量通过修改配置文件来设置,配置之后变量永久生效;而临时性变量使用命令如export等命令设置,设置之后马上生效。当关闭shell的时候失效(这种主要用于测试比较多)。此外,用户变量(局部变量)修改的设置只对某个用户的路径或执行起作用,而系统变量(全局变量)影响范围是整个系统。
显示所有环境变量:

env

在这里插入图片描述

下面以配置MySQL进入环境变量为例介绍几种修改环境变量的方法:
①export PATH
使用export命令直接修改PATH的值【立即生效。当前终端有效,窗口关闭后无效。仅对当前用户有效】

export PATH=/home/uusama/mysql/bin:$PATH

②vim ~/.bashrc

通过修改用户目录下的~/.bashrc文件进行配置【使用相同的用户打开新的终端时生效,或者手动source ~/.bashrc生效。永久有效。仅对当前用户有效】

vim ~/.bashrc

# 在最后一行加上
export PATH=$PATH:/home/uusama/mysql/bin

③vim ~/.bash_profile

和修改~/.bashrc文件类似,也是要在文件最后加上新的路径即可【使用相同的用户打开新的终端时生效,或者手动source ~/.bash_profile生效。永久有效。仅对当前用户有效】

vim ~/.bash_profile

# 在最后一行加上
export PATH=$PATH:/home/uusama/mysql/bin

④vim /etc/bashrc

该方法是修改系统配置,需要管理员权限(如root)或者对该文件的写入权限【新开终端生效,或者手动source /etc/bashrc生效。永久有效。对所有用户有效】

# 如果/etc/bashrc文件不可编辑,需要修改为可编辑
chmod -v u+w /etc/bashrc

vim /etc/bashrc

# 在最后一行加上
export PATH=$PATH:/home/uusama/mysql/bin

总结

做实验不给实验步骤,是老师在培养我们的创新意识,想让我们自由发(bai)挥(lan)。他真的,我哭死 :(

国际知名观众
关注
  • 9
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Shell+Linux命令实现日志分析
09-15
在IT运维领域,日志分析是一项至关重要的任务,它能够帮助我们理解系统行为,发现潜在问题,优化性能,以及进行安全审计。在Linux系统中,Shell脚本配合各种命令工具可以实现高效且灵活的日志分析。本文将详细介绍...
Linux日志文件常用查询命令
逸轩
10-04 457
查询某个日志行号区间:cat -n xx.log |tail -n +100 |head -n 100(查询100行至200行的日志)实时监控某个日志文件的变化:tail -f xx.log;实时监控日志最后100行:tail -n 100 -f xx.log。查询日志文件中包含debug的日志行号:cat -n xx.log|grep"debug"分页查询日志信息:cat -n xx.log |grep "debug" |more。查询日志尾部最后100行日志:tail -n 100 xx.log。
linux日志信息查询技巧(日常记录)
程序猿一只
04-09 2348
grep ‘关键字’ 日志文件路径 如:grep ‘key’ /data/logs/info.log。关键字是支持正则表达式的,如果想进行模糊匹配。如果知道一个关键字,想获取这个关键字的上下文信息的时候,就可以使用。时,就可以采用管道的方式,在关键字1的筛选结果上继续筛选关键字2。把所有包含关键字key的行输出到1.txt这个文件中。在key1筛选结果中筛选key2并只显示key2。当我们筛选日志文件中含有某个关键字的。如果想再进一步筛选另一个关键字,即。多显示筛选到行前面1行和后面一行。
Linux命令进阶——grep管道命令在查看日志的场景中的使用 & 具体案例_linux grep管道使用
最新发布
code8889的博客
05-05 1196
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!1.日志查看grep命令使用,常用的参数;2.grep查找命令-v 反查,-i 忽略大小写,-E样式打印;3.动态打印tail, --line-buffered;最全的Linux教程,Linux从入门到精通linux从入门到精通(第2版)Linux系统移植Linux驱动开发入门与实战LINUX 系统移植 第2版Linux开源网络全栈详解 从DPDK到OpenFlow。
Linux查询日志宝典
QQ563627436的博客
05-16 7040
grep查询关键字上下文n行 e.g grep -n ‘nullP1CLPKD07’ financial-gateway-20220510-0.log cat + grep查询关键字位置 cat -n financial-gateway-20220510-0.log |grep ‘nullP1CLPKD07’ -n显示行数 less查询 less 文件 -N 显示每行的行号 q 和 q!退出 /xxxxx 向后搜索 ?xxxxx 向前搜索 g 跳到文件的第 1 行 G 跳到文件的最后 1 行 查询某个文件几
Linux学习笔记】grep命令
hehigoxqc606的博客
10-12 839
功能 grep命令:用于在文本中执行关键词搜索,并显示匹配的结果。 格式 格式为:“grep [选项] [文件]” 常用的参数 详细的参数及其作用请点链接,里面有详细介绍: https://www.runoob.com/linux/linux-comm-grep.html 注:在参与运维中,有两个最最常用的参数:-n参数用来显示搜索到信息的行号;-v参数用于反选信息(即没有包含关键词的所有信息行。这两个参数几乎能完成您日后80%的工作需要,至于其他上百个参数,即使以后在以..
linux查看日志某段时间段grep,按时间段进行日志筛选的三种Shell编写方法
weixin_35460589的博客
05-01 1万+
tips:阅读了本文,你将了解到哪个命令效率最高,哪个命令编写最简单在日常系统维护、问题排查时,经常需要对系统后台日志进行筛选过滤。如果对特定时间段的日志进行筛选,该如何编写Shell脚本(命令)呢?本文给出三种常用的Shell编写方法:grep、gawk和sed。日志筛选需求描述:从2017年12月22日的日志文件中,统计时间段13:30~18:00之间包含筛选词“open.app”的日志行数。...
Linux查询指定时间段的日志
热门推荐
hxjz_的博客
10-20 2万+
Linux查询指定时间段的日志
Unix系统用户登录、操作命令日志配置方法-(二)+Linux篇+C+Shell.doc
12-10
本文将详细讨论如何配置用户登录和操作命令日志记录,特别是针对Linux环境,使用C Shell(csh)进行配置的方法。 首先,理解日志系统的基础是必要的。在Unix和Linux中,主要的日志系统包括syslogd和rsyslogd。...
web日志分析总结
07-21
4. **Linux工具运用**:在Linux环境下,`less`、`grep`和`sed`等命令分析日志的强大工具。例如,`grep`可以用于查找特定模式的日志条目,`-c`选项计数,`-v`选项排除指定内容,而`sed`则能对日志内容进行编辑和...
Linux用户行为的常用命令.doc
08-18
你可以使用`grep`和`awk`等命令筛选并解析这个文件,以获取特定信息。例如,查找最近的登录活动,可以运行`grep "New session" /var/log/auth.log | awk '{print $1,$2,$3,$11}' | tail -5`。 5. **last命令**: ...
网众Linux服务器常用命令(全)
06-30
标题“网众Linux服务器常用命令(全)”明确指出本文档旨在全面介绍在网众Linux服务器环境中频繁使用命令及其应用,旨在帮助系统管理员、运维工程师以及任何需要在Linux环境下工作的人员熟悉并掌握这些关键操作。...
利用 Linux grep 和 awk 完成日志过滤
Tyler_Zx的博客
08-27 4875
利用 Linux grep 和 awk 完成日志过滤
Linux基础命令grep 过滤需要的日志
Soinice的博客
03-08 8904
使用 grep 过滤需要的日志 grep 命令几个常用的参数 参数 注释 用法 –color 匹配到的数据变红 grep --color ‘要匹配的内容’ -A 查看后几行数据 查看匹配的行的后十行:grep -A 10 ‘需要匹配的内容’ 使用 grep 搜索关键字 搜索日志中所有包含 appid 的内容 cat access_log.2022-02-08-14.log | grep 'appid' 或者 cat access_log.2022-02-08-14.log | g
linux下查看日志命令Linux
weixin_44625361的博客
08-06 2万+
作为一个开发人员,在服务器上查看日志是必备的技能。运行在服务器上的程序会实时产生大量的日志,精准的找到自己需要查看部分,查看命令日志这么多,需要用什么效率比较高呢,来实践一下。例如:tail -n 100 filename 将显示文件filename的最后100行内容。# 配合G?/ n N 使用 less filename # 配合grep 参数 tail -f filename | grep -C 50 'content' > newlog.txt。
linux查看生产日志命令(cat、grep、tail、sed)
Yuhei001的博客
07-28 4073
查看生产日志技巧
Linux最全筛选查询日志
qq_43688472的博客
07-11 903
8.根据日期时间段查询(前提日志必须打印日期,先通过grep确定是否有该时间点)9.使用more和less命令(分页查看,使用空格分页)5.查询日志文件除了最后10行的其他所有日志。6.查询日志中含有某个关键字的信息显示出行号。7.显示102行,前10行和后10行的数据。1.查询日志中含有某个关键字的信息。11.将指定时间的日志导入到文件中。2.查询日志尾部最后10行的日志。3.查询日志文件头10行的日志。4.查询10行之后的所有日志。10.把日志保存到文件。
grep /sbin/nologin /etc/passwd
交流 QQ 1157222342
05-26 1373
grep /sbin/nologin /etc/passwd Linux系统中,/etc/passwd文件时保存着松油的用户信息 一旦用户的的登录终端被设置成/sbin/nologin,则不在允许登录系统 因此可以使用grep命令查找出当前系统中不允许登录系统的所有用户信息 [root@localhost ~]# grep /sbin/nologin /etc/passwd bin:x:1:1:bin:/bin:/sbin/nologin daemon:x:2:2:daemon:/sbin:/sb
Linux服务器上通过日志筛选技巧定位Spring Boot项目问题
修己xj的博客
07-14 404
在项目开发和维护的过程中,我们经常需要在 Linux 服务器上查询和分析日志文件。为了高效地处理大量的文本数据,我们可以借助一些强大的文本过滤工具,如 tail -f、more、zmore 、less、zless和 grep
Linux系统日志分析与流量监控入门
在深入理解这些日志系统后,读者可以运用书中介绍的方法和工具进行日志分析,例如使用grep、awk、sed等命令行工具,或者利用专门的日志分析软件。同时,流量监控是网络管理的另一个重要方面,通过监控网络流量,可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值