Linux日志舉例分析

本篇內(nèi)容主要講解“Linux日志舉例分析”，感興趣的朋友不妨來看看。本文介紹的方法操作簡單快捷，實(shí)用性強(qiáng)。下面就讓小編來帶大家學(xué)習(xí)“Linux日志舉例分析”吧!

1 、日志簡介

日志默認(rèn)存放位置：/var/log/

查看日志配置情況：more /etc/rsyslog.conf

比較重要的幾個(gè)日志： 登錄失敗記錄：/var/log/btmp //lastb 最后一次登錄：/var/log/lastlog //lastlog 登錄成功記錄: /var/log/wtmp //last 登錄日志記錄：/var/log/secure

目前登錄用戶信息：/var/run/utmp //w、who、users

歷史命令記錄：history  僅清理當(dāng)前用戶： history -c

2、 日志分析技巧

A、常用的shell命令

Linux下常用的shell命令如：find、grep 、egrep、awk、sed

小技巧：

1、grep顯示前后幾行信息:

標(biāo)準(zhǔn)unix/linux下的grep通過下面參數(shù)控制上下文：
grep -C 5 foo file 顯示file文件里匹配foo字串那行以及上下5行
grep -B 5 foo file 顯示foo及前5行
grep -A 5 foo file 顯示foo及后5行
查看grep版本號的方法是
grep -V

2、grep 查找含有某字符串的所有文件

grep -rn "hello,world!" 
* : 表示當(dāng)前目錄所有文件，也可以是某個(gè)文件名
-r 是遞歸查找
-n 是顯示行號
-R 查找所有文件包含子目錄
-i 忽略大小寫

3、如何顯示一個(gè)文件的某幾行：

cat input_file | tail -n +1000 | head -n 2000
#從第1000行開始，顯示2000行。即顯示1000~2999行

4、find /etc -name init

//在目錄/etc中查找文件init

5、只是顯示/etc/passwd的賬戶

`cat /etc/passwd |awk  -F ':'  '{print $1}'`  
//awk -F指定域分隔符為':'，將記錄按指定的域分隔符劃分域，填充域，$0則表示所有域,$1表示第一個(gè)域,$n表示第n個(gè)域。

6、sed -i '153,$d' .bash_history

刪除歷史操作記錄，只保留前153行

B、日志分析技巧

A、/var/log/secure

1、定位有多少IP在爆破主機(jī)的root帳號：    
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

定位有哪些IP在爆破：
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c

爆破用戶名字典是什么？
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

2、登錄成功的IP有哪些：   
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

登錄成功的日期、用戶名、IP：
grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}' 

3、增加一個(gè)用戶kali日志：
Jul 10 00:12:15 localhost useradd[2382]: new group: name=kali, GID=1001
Jul 10 00:12:15 localhost useradd[2382]: new user: name=kali, UID=1001, GID=1001, home=/home/kali
, shell=/bin/bash
Jul 10 00:12:58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali
#grep "useradd" /var/log/secure 

4、刪除用戶kali日志：
Jul 10 00:14:17 localhost userdel[2393]: delete user 'kali'
Jul 10 00:14:17 localhost userdel[2393]: removed group 'kali' owned by 'kali'
Jul 10 00:14:17 localhost userdel[2393]: removed shadow group 'kali' owned by 'kali'
# grep "userdel" /var/log/secure

5、su切換用戶：
Jul 10 00:38:13 localhost su: pam_unix(su-l:session): session opened for user good by root(uid=0)

sudo授權(quán)執(zhí)行:
sudo -l
Jul 10 00:43:09 localhost sudo:    good : TTY=pts/4 ; PWD=/home/good ; USER=root ; COMMAND=/sbin/shutdown -r now

2、/var/log/yum.log

軟件安裝升級卸載日志：

yum install gcc

[root@bogon ~]# more /var/log/yum.log

Jul 10 00:18:23 Updated: cpp-4.8.5-28.el7_5.1.x86_64
Jul 10 00:18:24 Updated: libgcc-4.8.5-28.el7_5.1.x86_64
Jul 10 00:18:24 Updated: libgomp-4.8.5-28.el7_5.1.x86_64
Jul 10 00:18:28 Updated: gcc-4.8.5-28.el7_5.1.x86_64
Jul 10 00:18:28 Updated: libgcc-4.8.5-28.el7_5.1.i686

到此，相信大家對“Linux日志舉例分析”有了更深的了解，不妨來實(shí)際操作一番吧！這里是億速云網(wǎng)站，更多相關(guān)內(nèi)容可以進(jìn)入相關(guān)頻道進(jìn)行查詢，關(guān)注我們，繼續(xù)學(xué)習(xí)！