<-- 2018-01-30 -->
cd /var/log
查看ssh用戶的登錄日誌:
less secure
日誌對於安全來說,非常重要,他記錄了系統每天發生的各種各樣的事情,你可以通過他來檢查錯誤發生的原因,或者受到攻擊時攻擊者留下的痕跡。
日誌主要的功能有:審計和監測。他還可以實時的監測系統狀態,監測和追蹤侵入者等等
一、在Linux系統中,有三個主要的日誌子系統:
1.連接時間日誌
--由多個程序執行,把紀錄寫入到/var/log/wtmp和/var/run/utmp,login等程序更新wtmp和 utmp文件,使系統管理員能夠跟蹤誰在何時登錄到系統。
進程統計--由系統內核執行。當一個進程終止時,爲每個進程往進程統計文件(pacct或acct)中寫一個紀錄。進程統計的目的是爲系統中的基本服務提供命令使用統計。
2.錯誤日誌
--由syslogd(8)執行。各種系統守護進程、用戶程序和內核通過syslog(3)向文件/var/log/messages報告值得注意的事件。另外有許多UNIX程序創建日誌。
像HTTP和FTP這樣提供網絡服務的服務器也保持詳細的日誌。 常用的日誌文件如下:
access-log -- 紀錄HTTP/web的傳輸
acct/pacct -- 紀錄用戶命令
aculog -- 紀錄MODEM的活動
btmp -- 紀錄失敗的紀錄
lastlog -- 紀錄最近幾次成功登錄的事件和最後一次不成功的登錄
messages -- 從syslog中記錄信息(有的鏈接到syslog文件)
sudolog -- 紀錄使用sudo發出的命令
sulog -- 紀錄使用su命令的使用
syslog -- 從syslog中記錄信息(通常鏈接到messages文件)
utmp -- 紀錄當前登錄的每個用戶
wtmp -- 一個用戶每次登錄進入和退出時間的永久紀錄
xferlog -- 紀錄FTP會話
utmp、wtmp和lastlog日誌文件是多數重用UNIX日誌子系統的關鍵--保持用戶登錄進入和退出的紀錄。有關當前登錄用戶的信息記錄在文件utmp中;登錄進入和退出紀錄
在文件wtmp中;最後一次登錄文件可以用lastlog命令察看。數據交換、關機和重起也記錄在wtmp文件中。所有的紀錄都包含時間戳。這些文件(lastlog通常不大)在具
有大量用戶的系統中增長十分迅速。例如wtmp文件可以無限增長,除非定期截取。許多系統以一天或者一週爲單位把wtmp配置成循環使用。它通常由cron運行的腳本來修改。
這些腳本重新命名並循環使用wtmp文件。通常,wtmp在第一天結束後命名爲wtmp.1;第二天後wtmp.1變爲wtmp.2等等,直到wtmp.7
每次有一個用戶登錄時,login程序在文件lastlog中察看用戶的UID。如果找到了,則把用戶上次登錄、退出時間和主機名寫到標準輸出中,然後login程序在lastlog中紀錄
新的登錄時間。在新的lastlog紀錄寫入後,utmp文件打開並插入用戶的utmp紀錄。該紀錄一直用到用戶登錄退出時刪除。utmp文件被各種命令文件使用,包括who、w、users
和finger。
下一步,login程序打開文件wtmp附加用戶的utmp紀錄。當用戶登錄退出時,具有更新時間戳的同一utmp紀錄附加到文件中。wtmp文件被程序last和ac使用
二、具體命令
wtmp和utmp文件都是二進制文件,他們不能被諸如tail命令剪貼或合併(使用cat命令)。用戶需要使用who、w、users、last和ac來使用這兩個文件包含的信息。
1.who
who命令查詢utmp文件並報告當前登錄的每個用戶。Who的缺省輸出包括用戶名、終端類型、登錄日期及遠程主機。例如:who(回車)顯示
[root@lzjld ~]# who
root pts/2 2018-01-30 15:32 (42.91.127.2)
root pts/3 2018-01-30 13:54 (42.91.127.2)
root pts/4 2018-01-30 10:25 (42.92.185.233)
如果指明瞭wtmp文件名,則who命令查詢所有以前的紀錄。命令who /var/log/wtmp把報告自從wtmp文件創建或刪改以來的每一次登錄。
2.w
w命令查詢utmp文件並顯示當前系統中每個用戶和它所運行的進程信息。例如:w(回車)顯示:
[root@lzjld ~]# w
15:55:32 up 13 days, 4:28, 3 users, load average: 0.78, 0.86, 0.85
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/2 42.91.127.2 15:32 19:08 0.09s 0.09s vim secure
root pts/3 42.91.127.2 13:54 0.00s 0.04s 0.00s w
root pts/4 42.92.185.233 10:25 4:09m 11.23s 0.00s sh runjld.sh
3.users
users用單獨的一行打印出當前登錄的用戶,每個顯示的用戶名對應一個登錄會話。如果一個用戶有不止一個登錄會話,那他的用戶名把顯示相同的次數。例如:users(回車)顯示:
[root@lzjld ~]# users
root root root
4.last
last命令往回搜索wtmp來顯示自從文件第一次創建以來登錄過的用戶。例如:
[root@GouplovXim lamp]# last
root pts/2 42.91.127.2 Tue Jan 30 13:58 still logged in
root pts/1 42.91.127.2 Tue Jan 30 09:45 - 14:18 (04:32)
root pts/1 61.178.57.45 Sun Jan 28 22:29 - 22:59 (00:30)
root pts/0 61.178.57.45 Sun Jan 28 18:30 - 20:55 (02:24)
root pts/1 42.91.126.152 Sat Jan 27 17:17 - 19:32 (02:14)
root pts/0 42.91.126.152 Sat Jan 27 16:08 - 18:20 (02:11)
root pts/1 42.91.126.152 Sat Jan 27 14:40 - 17:10 (02:29)
root pts/4 42.91.126.152 Sat Jan 27 14:01 - 16:35 (02:34)
root pts/0 42.91.126.152 Sat Jan 27 13:41 - 16:08 (02:27)
root pts/3 42.91.126.152 Sat Jan 27 13:12 - 15:27 (02:15)
root pts/2 42.91.126.152 Sat Jan 27 12:00 - 14:15 (02:14)
root pts/1 42.91.126.152 Sat Jan 27 11:31 - 14:03 (02:32)
root pts/0 42.91.126.152 Sat Jan 27 10:25 - 13:29 (03:04)
reboot system boot 2.6.32-696.3.2.e Sat Jan 27 10:25 - 16:01 (3+05:36)
root pts/0 42.91.126.152 Sat Jan 27 10:24 - down (00:00)
reboot system boot 2.6.32-696.3.2.e Sat Jan 27 10:24 - 10:25 (00:00)
root pts/0 42.91.126.152 Sat Jan 27 10:23 - down (00:00)
reboot system boot 2.6.32-696.3.2.e Sat Jan 27 10:23 - 10:24 (00:00)
wtmp begins Mon Jul 10 12:34:33 2017
linux查看日誌:
# cd /var/log
# less secure
或者
# less messages
最近登錄的日誌:
# last