第4篇:Linux日志分析

0x00 前言

Linux系統(tǒng)擁有非常靈活和強(qiáng)大的日志功能谊却,可以保存幾乎所有的操作記錄搪搏,并可以從中檢索出我們需要的信息灰追。 本文簡介一下Linux系統(tǒng)日志及日志分析技巧。

0x01 日志簡介

日志默認(rèn)存放位置:/var/log/

查看日志配置情況:more /etc/rsyslog.conf

日志文件說明

/var/log/cron記錄了系統(tǒng)定時(shí)任務(wù)相關(guān)的日志

/var/log/cups記錄打印信息的日志

/var/log/dmesg記錄了系統(tǒng)在開機(jī)時(shí)內(nèi)核自檢的信息拟淮,也可以使用dmesg命令直接查看內(nèi)核自檢信息

/var/log/mailog記錄郵件信息

/var/log/message記錄系統(tǒng)重要信息的日志干茉。這個(gè)日志文件中會(huì)記錄Linux系統(tǒng)的絕大多數(shù)重要信息,如果系統(tǒng)出現(xiàn)問題時(shí)惩歉,首先要檢查的就應(yīng)該是這個(gè)日志文件

/var/log/btmp記錄錯(cuò)誤登錄日志等脂,這個(gè)文件是二進(jìn)制文件,不能直接vi查看撑蚌,而要使用lastb命令查看

/var/log/lastlog記錄系統(tǒng)中所有用戶最后一次登錄時(shí)間的日志,這個(gè)文件是二進(jìn)制文件搏屑,不能直接vi争涌,而要使用lastlog命令查看

/var/log/wtmp永久記錄所有用戶的登錄、注銷信息辣恋,同時(shí)記錄系統(tǒng)的啟動(dòng)亮垫、重啟、關(guān)機(jī)事件伟骨。同樣這個(gè)文件也是一個(gè)二進(jìn)制文件饮潦,不能直接vi,而需要使用last命令來查看

/var/log/utmp記錄當(dāng)前已經(jīng)登錄的用戶信息携狭,這個(gè)文件會(huì)隨著用戶的登錄和注銷不斷變化继蜡,只記錄當(dāng)前登錄用戶的信息。同樣這個(gè)文件不能直接vi逛腿,而要使用w,who,users等命令來查詢

/var/log/secure記錄驗(yàn)證和授權(quán)方面的信息稀并,只要涉及賬號和密碼的程序都會(huì)記錄,比如SSH登錄单默,su切換用戶碘举,sudo授權(quán),甚至添加用戶和修改用戶密碼都會(huì)記錄在這個(gè)日志文件中

比較重要的幾個(gè)日志: 登錄失敗記錄:/var/log/btmp //lastb 最后一次登錄:/var/log/lastlog //lastlog 登錄成功記錄: /var/log/wtmp //last 登錄日志記錄:/var/log/secure

? 目前登錄用戶信息:/var/run/utmp //w搁廓、who引颈、users

? 歷史命令記錄:history? 僅清理當(dāng)前用戶: history -c

0x02 日志分析技巧

A耕皮、常用的shell命令

Linux下常用的shell命令如:find、grep 蝙场、egrep明场、awk、sed

小技巧:

1李丰、grep顯示前后幾行信息:

?? ? 標(biāo)準(zhǔn)unix/linux下的grep通過下面參數(shù)控制上下文:

?? ? grep -C 5 foo file 顯示file文件里匹配foo字串那行以及上下5行

?? ? grep -B 5 foo file 顯示foo及前5行

?? ? grep -A 5 foo file 顯示foo及后5行

?? ? 查看grep版本號的方法是

?? ? grep -V

2苦锨、grep 查找含有某字符串的所有文件

? ? grep -rn "hello,world!"

? ? * : 表示當(dāng)前目錄所有文件,也可以是某個(gè)文件名

? ? -r 是遞歸查找

? ? -n 是顯示行號

? ? -R 查找所有文件包含子目錄

? ? -i 忽略大小寫

3趴泌、如何顯示一個(gè)文件的某幾行:

? ? cat input_file | tail -n +1000 | head -n 2000

? ? #從第1000行開始舟舒,顯示2000行。即顯示1000~2999行

4嗜憔、find /etc -name init

//在目錄/etc中查找文件init

5秃励、只是顯示/etc/passwd的賬戶

`cat /etc/passwd |awk? -F ':'? '{print $1}'`?

//awk -F指定域分隔符為':',將記錄按指定的域分隔符劃分域吉捶,填充域夺鲜,?$0則表示所有域,$1表示第一個(gè)域,?$n表示第n個(gè)域。

6呐舔、sed -i '153,$d' .bash_history

刪除歷史操作記錄币励,只保留前153行

B、日志分析技巧

A珊拼、/var/log/secure

1食呻、定位有多少IP在爆破主機(jī)的root帳號:? ?

grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

定位有哪些IP在爆破:

grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c

爆破用戶名字典是什么?

grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

2澎现、登錄成功的IP有哪些:? ?

grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

登錄成功的日期仅胞、用戶名、IP:

grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

3剑辫、增加一個(gè)用戶kali日志:

Jul 10 00:12:15 localhost useradd[2382]: new group: name=kali, GID=1001

Jul 10 00:12:15 localhost useradd[2382]: new user: name=kali, UID=1001, GID=1001, home=/home/kali

, shell=/bin/bash

Jul 10 00:12:58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali

#grep "useradd" /var/log/secure

4干旧、刪除用戶kali日志:

Jul 10 00:14:17 localhost userdel[2393]: delete user 'kali'

Jul 10 00:14:17 localhost userdel[2393]: removed group 'kali' owned by 'kali'

Jul 10 00:14:17 localhost userdel[2393]: removed shadow group 'kali' owned by 'kali'

# grep "userdel" /var/log/secure

5、su切換用戶:

Jul 10 00:38:13 localhost su: pam_unix(su-l:session): session opened for user good by root(uid=0)

sudo授權(quán)執(zhí)行:

sudo -l

Jul 10 00:43:09 localhost sudo:? ? good : TTY=pts/4 ; PWD=/home/good ; USER=root ; COMMAND=/sbin/shutdown -r now

2妹蔽、/var/log/yum.log

軟件安裝升級卸載日志:

~~~yum install gcc yum install gcc

[root@bogon ~]# more /var/log/yum.log

Jul 10 00:18:23 Updated: cpp-4.8.5-28.el7_5.1.x86_64 Jul 10 00:18:24 Updated: libgcc-4.8.5-28.el7_5.1.x86_64 Jul 10 00:18:24 Updated: libgomp-4.8.5-28.el7_5.1.x86_64 Jul 10 00:18:28 Updated: gcc-4.8.5-28.el7_5.1.x86_64 Jul 10 00:18:28 Updated: libgcc-4.8.5-28.el7_5.1.i686 ~~~

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末椎眯,一起剝皮案震驚了整個(gè)濱河市,隨后出現(xiàn)的幾起案子讹开,更是在濱河造成了極大的恐慌盅视,老刑警劉巖,帶你破解...
    沈念sama閱讀 221,635評論 6 515
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件旦万,死亡現(xiàn)場離奇詭異闹击,居然都是意外死亡,警方通過查閱死者的電腦和手機(jī)成艘,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 94,543評論 3 399
  • 文/潘曉璐 我一進(jìn)店門赏半,熙熙樓的掌柜王于貴愁眉苦臉地迎上來贺归,“玉大人,你說我怎么就攤上這事断箫》骱ǎ” “怎么了?”我有些...
    開封第一講書人閱讀 168,083評論 0 360
  • 文/不壞的土叔 我叫張陵仲义,是天一觀的道長婶熬。 經(jīng)常有香客問我,道長埃撵,這世上最難降的妖魔是什么赵颅? 我笑而不...
    開封第一講書人閱讀 59,640評論 1 296
  • 正文 為了忘掉前任,我火速辦了婚禮暂刘,結(jié)果婚禮上饺谬,老公的妹妹穿的比我還像新娘。我一直安慰自己谣拣,他們只是感情好募寨,可當(dāng)我...
    茶點(diǎn)故事閱讀 68,640評論 6 397
  • 文/花漫 我一把揭開白布。 她就那樣靜靜地躺著森缠,像睡著了一般拔鹰。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上辅鲸,一...
    開封第一講書人閱讀 52,262評論 1 308
  • 那天格郁,我揣著相機(jī)與錄音,去河邊找鬼独悴。 笑死,一個(gè)胖子當(dāng)著我的面吹牛锣尉,可吹牛的內(nèi)容都是我干的刻炒。 我是一名探鬼主播,決...
    沈念sama閱讀 40,833評論 3 421
  • 文/蒼蘭香墨 我猛地睜開眼自沧,長吁一口氣:“原來是場噩夢啊……” “哼坟奥!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起拇厢,我...
    開封第一講書人閱讀 39,736評論 0 276
  • 序言:老撾萬榮一對情侶失蹤爱谁,失蹤者是張志新(化名)和其女友劉穎,沒想到半個(gè)月后孝偎,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體访敌,經(jīng)...
    沈念sama閱讀 46,280評論 1 319
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 38,369評論 3 340
  • 正文 我和宋清朗相戀三年衣盾,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了寺旺。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片爷抓。...
    茶點(diǎn)故事閱讀 40,503評論 1 352
  • 序言:一個(gè)原本活蹦亂跳的男人離奇死亡,死狀恐怖阻塑,靈堂內(nèi)的尸體忽然破棺而出蓝撇,到底是詐尸還是另有隱情,我是刑警寧澤陈莽,帶...
    沈念sama閱讀 36,185評論 5 350
  • 正文 年R本政府宣布渤昌,位于F島的核電站,受9級特大地震影響走搁,放射性物質(zhì)發(fā)生泄漏独柑。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 41,870評論 3 333
  • 文/蒙蒙 一朱盐、第九天 我趴在偏房一處隱蔽的房頂上張望群嗤。 院中可真熱鬧,春花似錦兵琳、人聲如沸狂秘。這莊子的主人今日做“春日...
    開封第一講書人閱讀 32,340評論 0 24
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽者春。三九已至,卻和暖如春清女,著一層夾襖步出監(jiān)牢的瞬間钱烟,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 33,460評論 1 272
  • 我被黑心中介騙來泰國打工嫡丙, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留拴袭,地道東北人。 一個(gè)月前我還...
    沈念sama閱讀 48,909評論 3 376
  • 正文 我出身青樓曙博,卻偏偏與公主長得像拥刻,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個(gè)殘疾皇子父泳,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 45,512評論 2 359

推薦閱讀更多精彩內(nèi)容

  • 1)/var/log/secure:記錄登錄系統(tǒng)存取數(shù)據(jù)的文件; 例如:pop3般哼,ssh,telnet惠窄,ftp等都...
    云揚(yáng)_fb42閱讀 2,819評論 0 1
  • 系統(tǒng)巡檢腳本:Version 2016.08.09 ############################ 系統(tǒng)...
    NamasAmitabha閱讀 1,328評論 0 0
  • 熟悉BASH命令 Ls蒸眠、cd、pwd杆融、cat楞卡、more、tail、cp臀晃、rm觉渴、top、ps徽惋、greg案淋、ifconf...
    安全牛課堂閱讀 1,253評論 1 7
  • 我們主要講一下Linux環(huán)境中的系統(tǒng)記帳和系統(tǒng)日志管理以及怎么用一些工具更加方便有效的管理日志信息。 當(dāng)我們用上面...
    大福技術(shù)閱讀 4,259評論 0 3
  • day10 目錄結(jié)構(gòu)重要文件說明 A.變量和別名配置文件--/etc/profile別名功能作用: 將復(fù)雜麻煩的命...
    ManBu_x閱讀 335評論 0 1