标签：分析 sshd kylin secure log Linux 日志 root xu

四、日志分析

【1】、what is 日志

日志log
分析，检查系统，服务是否正常运行，一般都要看日志。后面学习的一些服务软件，遇到故障就要查看日志。
Linux日志一般存放在/var/log/目录。

【2】、核心日志

ip,root,密码，22(端口)

Linux默认核心日志	说明
/var/log/secure(麒麟，红帽系统) /var/log/auth.log （debian,ubt)	用户登录情况，分析错误，分析正确
/var/log/messages(麒麟，红帽系统) /var/log/syslog（debian,ubt)	通用日志（服务）服务如果没有单独的日志，一般就会记录到这里面。
......

root@xu-ubuntu:~# ll /var/log/auth.log 
-rw-r----- 1 syslog adm 6303 Nov  4 08:05 /var/log/auth.log
[root@kylin-xu ~]# ll /var/log/secure 
-rw------- 1 root root 6269 nov  4 00:31 /var/log/secure


root@xu-ubuntu:~# ll /var/log/syslog 
-rw-r----- 1 syslog adm 230481 Nov  4 07:29 /var/log/syslog
[root@kylin-xu ~]# ll /var/log/messages 
-rw------- 1 root root 2199907 nov  4 05:06 /var/log/messages

分析secure （auth.log)日志：

failure
failed ( Failed password)

kylin错误登录分析

Ubuntu错误登录分析

【3】、故障案例：某开发人员vim编辑2g日志导致系统内存不足。

背景：突然发现测试环境某个机器，提示内存不足。我们去查看。

步骤：定位出是vim命令占用的。发现vim编辑日志。

解决：结束进程

预防：

发现开发人员操作，查看日志，vim查看。
培训开发人员使用tail,head,less,more,grep查看不要用cat,vim.

【4】、查看内存指令

tail,head,less,more,grep

1、tail

文件结尾的数据。默认查看文件末尾10行。

查看文件最后的20行 -20 -n20

[root@kylin-xu ~]# tail -20 /var/log/secure  
Nov  3 23:40:10 kylin-xu polkitd[768]: Loading rules from directory /etc/polkit-1/rules.d
Nov  3 23:40:10 kylin-xu polkitd[768]: Loading rules from directory /usr/share/polkit-1/rules.d
Nov  3 23:40:10 kylin-xu polkitd[768]: Finished loading, compiling and executing 5 rules
Nov  3 23:40:10 kylin-xu polkitd[768]: Acquired the name org.freedesktop.PolicyKit1 on the system bus
Nov  3 23:40:17 kylin-xu systemd[1105]: pam_unix(systemd-user:session): session opened for user root(uid=0) by (uid=0)
Nov  3 23:40:18 kylin-xu sshd[1029]: pam_unix(sshd:session): session opened for user root(uid=0) by (uid=0)
Nov  3 23:41:17 kylin-xu polkitd[752]: Loading rules from directory /etc/polkit-1/rules.d
Nov  3 23:41:17 kylin-xu polkitd[752]: Loading rules from directory /usr/share/polkit-1/rules.d
Nov  3 23:41:17 kylin-xu polkitd[752]: Finished loading, compiling and executing 5 rules
Nov  3 23:41:17 kylin-xu polkitd[752]: Acquired the name org.freedesktop.PolicyKit1 on the system bus
Nov  3 23:42:59 kylin-xu systemd[1437]: pam_unix(systemd-user:session): session opened for user root(uid=0) by (uid=0)
Nov  3 23:42:59 kylin-xu sshd[1427]: pam_unix(sshd:session): session opened for user root(uid=0) by (uid=0)
Nov  3 23:52:47 kylin-xu sshd[1427]: pam_unix(sshd:session): session closed for user root
Nov  3 23:52:48 kylin-xu sshd[3968]: pam_unix(sshd:session): session opened for user root(uid=0) by (uid=0)
Nov  4 00:31:07 kylin-xu sshd[3968]: pam_unix(sshd:session): session closed for user root
Nov  4 00:31:08 kylin-xu sshd[66374]: pam_unix(sshd:session): session opened for user root(uid=0) by (uid=0)
Nov  4 05:14:54 kylin-xu sshd[135641]: pam_unix(sshd:session): session opened for user root(uid=0) by (uid=0)
Nov  4 05:15:02 kylin-xu sshd[135641]: pam_unix(sshd:session): session closed for user root
Nov  4 05:15:17 kylin-xu login[902]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=tty1 ruser= rhost=  user=root
Nov  4 05:15:20 kylin-xu login[902]: FAILED LOGIN SESSION FROM tty1 FOR root, Permission denied
[root@kylin-xu ~]# tail -20 /var/log/secure  | wc -l
20

查看文件末尾的实时更新

[root@kylin-xu ~]# tail -f /var/log/secure

2、head

查看文件开头的内容，默认显示10行。

head /var/log/secure

# 显示第一行
head -1 /var/log/secure

3、less、more

less /etc/serivces

下一页： 空格或ctrl + f 
上一页：      ctrl + b
第1行:       g
最后一行:     G
某一行:      100回车
/搜索  
q 退出

more 快捷键没有那么多，到文件末尾自动退出。

4、过滤在文件中查找内容

四剑客 find,grep,sed,awk

grep

grep选项
--color	加颜色
-i	不区分大小写
-n	显示行号
-v	取反，排除

在/etc/passwd文件中过滤出root的行

grep --color 'root'     /etc/passwd

在/var/log/secure文件中过滤出failure行。

grep --color  'failure'  /var/log/secure

/var/log/auth.log中过滤出failed password

grep -i 'failed password'  /var/log/auth.log

不区分大小写过滤出 /etc/ssh/sshd_config 文件中包含port 22的行并输出行号

grep  --color  -i -n  'port 22'   /etc/ssh/sshd_config

排除（取反）/etc/ssh/sshd_config文件中的#(井号)

grep -v '#'  /etc/ssh/sshd_config

5、wc

统计文件行数

xu@xu-ubuntu:~$ wc -l /etc/services
361 /etc/services

wc一般搭配管道使用，其他命令使用。
初步统计功能。

【5】、日志统计

1、管道

管道：符号 | ，前1个命令执行后输出，通过管道符号，传递给下一个命令使用。

过滤/etc/passwd中包含/bin/bash的行，行数。

[root@kylin-xu ~]# grep /bin/bash /etc/passwd 
root:x:0:0:root:/root:/bin/bash
[root@kylin-xu ~]# grep /bin/bash /etc/passwd | wc -l
1

ps -ef 显示linux进程的命令，linux进程数量

[root@kylin-xu ~]# ps -ef | wc -l
151

ps -ef 显示linux进程的命令，统计/sbin/sshd进程数量（远程连接服务的进程）

[root@kylin-xu ~]# ps -ef | grep /sbin/sshd 
root         872       1  0 nov03 ?        00:00:00 sshd: /usr/sbin/sshd -D [listener] 0 of 10-100 startups
root      143510   66389  0 05:46 pts/0    00:00:00 grep /sbin/sshd
[root@kylin-xu ~]# ps -ef | grep /sbin/sshd  | wc -l
2

2、日志

上传文件到linux

安装lrzsz   
yum install -y  lrzsz  #麒麟

#ubt,debian 使用root用户
sudo su - 
apt update 
apt install -y lrzsz 

#命令说明
rz 上传  rz回车即可或拖拽
sz 下载  sz /etc/hostname  下载指定的文件。

解压缩

unzip secure-20161219.zip  #解压到当前目录。
#如果提示命令找不到 command not found

检查：
[root@oldboyedu ~]# ll -h secure-20161219
-rw-r--r-- 1 root root 49M  2月 15  2017 secure-20161219
#字节，
#KB
#MB
#GT
#GB
#TB
#PB
#EB

分析

3、复现故障案例

cat  secure-20161219 secure-20161219  secure-20161219 secure-20161219 secure-20161219 secure-20161219 secure-20161219 secure-20161219 secure-20161219 secure-20161219 secure-20161219 secure-20161219 secure-20161219 secure-20161219 secure-20161219 secure-20161219     secure-20161219 secure-20161219 secure-20161219 secure-20161219  > secure-big

[root@kylin-xu ~]# ll -h secure-big 
-rw-r--r-- 1 root root 974M 11月  4 07:11 secure-big

检查内存: free -h
vim编辑文件
开个窗口查看内存

4、日志分析搭档sort,uniq

sort 排序
uniq unique独一无二的，去重。

（1）、sort

sort选项
-r	逆序排序
-n	按照数字形式排序
-k	-k指定列，

[root@kylin-xu ~]# sort num.txt 
# 默认是按照数字的第一个数字排序
0
1
131
154
161
26
3
31
4164
46
74
749
99

[root@kylin-xu ~]# sort num.txt  -n
0
1
3
26
31
46
74
99
131
154
161
749
4164

[root@kylin-xu ~]# sort num.txt  -nr
4164
749
161
154
131
99
74
46
31
26
3
1
0

[root@kylin-xu ~]# sort num.txt  -nr -k 2
aasc 4164
xixi 749
haha 161
dtgfhdsgf 154
aaa 131
safdg 99
ewsrf 74
bb 46
qawq 31
sadg 26
bsadfg 3 
ss 1
afa 0

ps aux 第4列是内存使用率，对这列排序，取出前5个

root@xu-ubuntu:~# ps aux | sort -nr -k 4 | head -5
root        4855  0.5  0.8 1393992 31980 ?       Ssl  10:39   0:21 /usr/lib/snapd/snapd
root         548  0.0  0.6 354888 27232 ?        SLsl 03:51   0:06 /sbin/multipathd -d -s
root         899  0.0  0.5 107120 21528 ?        Ssl  03:51   0:00 /usr/bin/python3 /usr/share/unattended-upgrades/unattended-upgrade-shutdown --wait-for-signal
root         835  0.0  0.4  30104 18920 ?        Ss   03:51   0:00 /usr/bin/python3 /usr/bin/networkd-dispatcher --run-startup-triggers
root         510  0.0  0.4  47884 16904 ?        S<s  03:51   0:01 /lib/systemd/systemd-journald

（2）、uniq

去重，一般要与sort搭配。

[root@oldboyedu ~]# cat uniq.txt 
lidao
oldboy
lidao
lidao
lidao
lidao
lidao
lidao
lidao
lidao
lidao
oldboy
oldboy
oldboy
oldboy
oldboy
[root@oldboyedu ~]# sort uniq.txt |uniq -c 
     10 lidao
      6 oldboy

（3）、awk

取列
awk 取列 NF表示最后一列

[root@kylin-xu ~]# cat num.txt 
haha 161 192.168.121.11
xixi 749 192.168.121.111
aaa 131  192.168.121.116
aasc 4164 192.178.121.11
dtgfhdsgf 154 192.178.121.180
qawq 31 192.178.31.11

[root@kylin-xu ~]# awk '{print $3}' num.txt 
192.168.121.11
192.168.121.111
192.168.121.116
192.178.121.11
192.178.121.180
192.178.31.11
[root@kylin-xu ~]# awk '{print $NF}' num.txt 
192.168.121.11
192.168.121.111
192.168.121.116
192.178.121.11
192.178.121.180
192.178.31.11

【6】、日志分析实战

1、secure日志分析

1️⃣过滤出failed password,失败登录。取行
2️⃣ 提取出这行中的ip的列。取列
3️⃣ 对ip进行排序。相同的ip在一起。
4️⃣ 去掉重复，统计次数。去重并统计次数。uniq -c
5️⃣ 对次数排序并取出前20个

NF-3：取出倒数第四列。

因为从正向数，是不规律的，因此只能倒序数

[root@kylin-xu ~]# grep -i "failed password" secure-20161219 |  awk '{print $(NF-3)}' | sort | uniq -c | sort -rn | head -20
  68652 218.65.30.25
  34326 218.65.30.53
  21201 218.87.109.154
  18065 112.85.42.103
  17164 112.85.42.99
  17163 218.87.109.151
  17163 218.87.109.150
  17163 218.65.30.61
  17163 218.65.30.126
  17163 218.65.30.124
  17163 218.65.30.123
  17163 218.65.30.122
  17163 182.100.67.120
  17163 182.100.67.119
  17163 112.85.42.124
  17163 112.85.42.107
   3289 222.186.50.206
   3265 219.133.29.16
   3206 111.73.46.156
   2479 117.21.226.189

2、access日志分析

2️⃣ 提取出这行中的ip的列。取列
3️⃣ 对ip进行排序。相同的ip在一起。
4️⃣ 去掉重复，统计次数。去重并统计次数。uniq -c
5️⃣ 对次数排序并取出前20个

[root@kylin-xu ~]# awk '{print $1}' access.log  | sort | uniq -c | sort -rn  | head -20
  12049 58.220.223.62
  10856 112.64.171.98
   1982 114.83.184.139
   1662 117.136.66.10
   1318 115.29.245.13
    961 223.104.5.197
    957 116.216.0.60
    939 180.111.48.14
    871 223.104.5.202
    869 223.104.4.139
    799 124.160.208.186
    792 121.235.250.231
    774 116.226.186.208
    753 114.111.166.22
    752 122.234.234.124
    751 61.148.243.193
    733 58.33.166.73
    733 222.67.7.159
    717 140.206.89.233
    706 101.226.125.113

标签：分析,sshd,kylin,secure,log,Linux,日志,root,xu
From： https://www.cnblogs.com/xuruizhao/p/18540758

Linux基础日志分析

四、日志分析

【1】、what is 日志

【2】、核心日志

【3】、故障案例：某开发人员vim编辑2g日志导致系统内存不足。

【4】、查看内存指令

1、tail

2、head

3、less、more

4、过滤在文件中查找内容

5、wc

【5】、日志统计

1、管道

2、日志

3、复现故障案例

4、日志分析搭档sort,uniq

（1）、sort

（2）、uniq

（3）、awk

【6】、日志分析实战

1、secure日志分析

2、access日志分析

相关文章

赞助商

阅读排行

Linux基础日志分析

四、日志分析

【1】、what is 日志

【2】、核心日志

【3】、故障案例：某开发人员vim编辑2g日志导致系统内存不足。

【4】、查看内存指令

1、tail

2、head

3、less、more

4、过滤 在文件中查找内容

5、wc

【5】、日志统计

1、管道

2、日志

3、复现故障案例

4、日志分析搭档sort,uniq

（1）、sort

（2）、uniq

（3）、awk

【6】、日志分析实战

1、secure日志分析

2、access日志分析

相关文章

赞助商

阅读排行

4、过滤在文件中查找内容