Linux日志-btmp日志

作者介绍：简历上没有一个精通的运维工程师。希望大家多多关注作者，下面的思维导图也是预计更新的内容和当前进度(不定时更新)。

Linux进阶部分又分了很多小的部分,我们刚讲完了Linux基础软件，下面是Linux日志。Linux 系统中的日志是记录系统活动和事件的重要工具，它们可以帮助管理员监视系统状态、调查问题以及了解系统运行状况。主要涉及到系统日志，登录日志，定时任务日志，监控日志，崩溃日志，二进制日志等内容，这些日志都存储在/var/log目录下，有的日志文本格式，可以直接使用前面学到的tail cat 等命令分析，有的日志是二进制格式需要专门的命令才能解释，比如sa journal等。我们主要从以下几个方面来介绍Linux的日志情况。

1.Linux日志-message日志

2.Linux日志-secure日志

3.Linux日志-btmp日志(本章节)

4.Linux日志-wtmp日志

5.Linux日志-lastlog日志

6.Linux日志-cron日志

7.Linux日志-sar日志

8.Linux日志-journal日志

9.Linux日志-dmesg日志

10.Linux日志-kdump日志

11.Linux日志-日志小结

上一小节，我们讲Linux的secure日志，下面我们接着讲Linux的其他日志内容。

在Linux系统中，btmp 日志是系统日志的一部分，它记录了所有登录失败的尝试，包括失败的登录用户名、登录失败的时间以及登录失败的来源 IP 地址。

1. 记录失败登录时间：准确记录每次错误登录发生的时间，精确到秒甚至更小的时间单位。这对于分析在特定时间段内是否存在异常的登录活动非常重要。例如，如果在凌晨时分出现了大量不正常的登录尝试，可能意味着存在潜在的安全威胁，如黑客试图暴力破解密码。

2. 登录用户信息：记录尝试登录的用户名。通过分析频繁被尝试登录的用户名，可以确定哪些账户可能成为攻击目标。如果某些具有管理员权限的用户名被频繁尝试登录，就需要特别关注并加强相关账户的安全措施。

3. 登录来源信息：在某些情况下，还可能记录登录尝试的来源 IP 地址。这对于追踪可能的恶意攻击者的位置或识别来自特定网络区域的异常活动很有帮助。如果发现某个 IP 地址不断尝试错误登录多个账户，就可以将该 IP 地址列入黑名单或采取其他相应的安全措施。

日志基本信息

• 日志路径：/var/log/btmp

• 日志格式:  二级制格式

• 查看方法：使用专用命令lastb

[root@iZ2vci40gfjzarlead7vliZ ~]# lastb 
usuario  ssh:notty    139.224.106.2    Wed Aug  7 23:16 - 23:16  (00:00)    
carlos   ssh:notty    116.169.61.95    Wed Aug  7 21:00 - 21:00  (00:00)    
craft    ssh:notty    116.169.61.95    Wed Aug  7 21:00 - 21:00  (00:00)    
#后面省略大部分内容

总结

1.这个日志也是属于平时关注比较少的日志，如果未开放到公网或者限制比较严格，这里应该只有很少记录。

2.如果没有暴露面，也确实不用怎么关注他。

3.如果暴露到公网，我们可以根据上面的情况做一些针对性的限制（比如错误达到几次就自动屏蔽）。

关注微信公众号《运维小路》获取更多内容。