首页 > 系统相关 >Linux日志审计

Linux日志审计

时间:2022-12-08 21:36:22浏览次数:67  
标签:审计 grep secure joshua317 Linux var 日志 log

常用命令 find、grep 、egrep、awk、sed

Linux 中常见日志以及位置

/var/log/cron	记录了系统定时任务相关的日志
/var/log/auth.log	记录验证和授权方面的信息
/var/log/secure	同上,只是系统不同
/var/log/btmp	登录失败记录 使用lastb命令查看
/var/log/wtmp	登录失成功记录 使用last命令查看
/var/log/lastlog	最后一次登录 使用lastlog命令

查看

/var/run/utmp	使用 w、who、users 命令查看
/var/log/auth.log、/var/log/secure记录验证和授权方面的信息,只要涉及账号和密码的程序都会记录,比如SSH登录,su切换用户,sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中

常用审计命令

//定位多少IP在爆破root账号
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
//定位有多少IP在爆破
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c
//爆破用户名的字典是什么
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr
//查看登录成功的IP有哪些
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
//登录成功的日志、用户名、IP
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}' 

 

标签:审计,grep,secure,joshua317,Linux,var,日志,log
From: https://www.cnblogs.com/joshua317/p/16967382.html

相关文章

  • linux编译安装时常见错误解决办法
     linux编译安装时常见错误解决办法configure:error:xslt-confignotfound.Pleasereinstallthelibxslt>=1.1.0distribution复制代码代码如下:yum-yinstallli......
  • ELK+Filebeat日志分析系统
    一、ELK简介ELK平台是一套完整的日志集中处理解决方案,将ElasticSearch、Logstash和Kiabana三个开源工具配合使用,完成更强大的用户对日志的查询、排序、统计需求。1......
  • Linux如何查看服务启动状态是否开机自动启动
    本文为joshua317原创文章,转载请注明:转载自joshua317博客 https://www.joshua317.com/article/284方式一chkconfiglinux中查看服务启动状态是否开机自动启动的方法:1......
  • Linux系统的开机自启动
    本文为joshua317原创文章,转载请注明:转载自joshua317博客 https://www.joshua317.com/article/285当你使用windows操作系统时,开机后总会有各种软件自我启动完成,你并没有......
  • linux安装php5
    yum-yinstallbzip2bzip2-devellibxml2libxml2-developensslopenssl-develcurl-devellibjpeg-devellibpng-develfreeType-devellibmcrypt-develmhashgdg......
  • 工具推荐:Netdata,Linux性能实时监测工具
    工具推荐:Netdata,Linux性能实时监测工具​​​http://www.freebuf.com/sectool/100484.htm​​​安装使用教程:https://linux.cn/article-7576-1.html......
  • linux 中实现将 每一行指定的最后一个出现的特定字符替换为指定字符
     001、[root@PC1test]#lsa.txt[root@PC1test]#cata.txt##测试数据abckbcebcbcbc3445560bcbckkuu[root@PC1test]#reva.txt|s......
  • Linux vi/vim
    所有的UnixLike系统都会内建vi文书编辑器,其他的文书编辑器则不一定会存在。但是目前我们使用比较多的是vim编辑器。vim具有程序编辑的能力,可以主动的以字体颜色辨别......
  • 基于AD Event日志检测哈希传递攻击
    01、简介哈希传递攻击是基于NTLM认证的一种攻击方式,当我们获得某个管理员用户的密码哈希值,就可以利用密码哈希值进行横向渗透。在域环境中,只有域管理员的哈希值才能进行......
  • linux 中sed命令删除匹配字符之后、之前的若干行
     001、删除匹配字符之后的若干行[root@PC1test]#lsa.txt[root@PC1test]#cata.txt##测试数据12345678910[root@PC1test]#sed'/5/,......