网络攻防学习笔记 Day68

2.Linux 系统

1）日志概述

Linux 系统中的日志一般存放在目录“/var/log/”下，具体的日志功能如下。

/var/log/wtmp：记录登录进入、退出、数据交换、关机和重启，即 last。

/var/log/cron：记录与定时任务相关的日志信息。

/var/log/messages：记录系统启动后的信息和错误日志。

/var/log/apache2/access.log：记录 Apache 的访问日志。

/var/log/auth.log：记录系统授权信息，包括用户登录和使用的权限机制等。

/var/log/userlog：记录所有等级用户信息的日志。

/var/log/xferlog（vsftpd.log）：记录 Linux FTP 日志。

/var/log/lastlog：记录登录的用户，可以使用命令 lastlog 查看。

/var/log/secure：记录大多数应用输入的账号与密码，以及登录成功与否。

/var/log/faillog：记录登录系统不成功的账号信息。

2）日志分析

对于 Linux 系统日志的分析主要使用【grep】、【sed】、【sort】和【awk】等命令。常用查询日志命令及功能如下。

【tail-n 10 test.log】命令：查询最后 10 行的日志。

【tail-n+10 test.log】命令：查询 10 行之后的所有日志。

【head-n 10 test.log】命令：查询头 10 行的日志。

【head-n-10 test.log】命令：查询除了最后 10 行的其他所有日志。

在*.log 日志文件中统计独立 IP 地址个数的命令如下。

【awk '{print $1}' test.log|sort|uniq|wc-l】

【awk '{print $1}'/access.log|sort|uniq-c|sort-nr|head-10】

查找指定时间段日志的命令如下。

【sed-n '/2014-12-17 16:17:20/,/2014-12-17 16:17:36/p' test.log】

【grep '2014-12-17 16:17:20' test.log】

定位有多少 IP 地址在暴力破解主机 root 账号的命令如下。

【cat/var/log/secure |awk '/Accepted/{print (NF-3)}'|sort|uniq-c|awk '{print 2"="$1;}'(CentOS)】

查看登录成功的 IP 地址的命令如下。

【cat/var/log/auth.log |awk '/Failed/{print (NF-3)}'|sort|uniq-c|awk '{print 2"="$1;}' ) (ubuntu)】

查看登录成功日期、用户名、IP 地址的命令如下。

【grep "Accepted "/var/log/secure|awk '{print $1,$2,$3,$9,$11}'】