Linux 排查必看文件

目录

1. 登录日志

1.1 /var/log/wtmp

1.2 /var/log/btmp.*

1.3 /var/log/lastlog

1.4 /var/log/faillog 

1.5 /var/log/secure 

1.6 /var/log/auth.log 

2. 系统日志

2.1 /var/log/cron.*

2.2 /var/log/syslog

2.3  /var/log/audit/audit.*log

3. 历史命令

3.1 ~/.bash_history

3.2 history

3.3 /var/log/audit/audit.*log


1. 登录日志

登录日志通常记录了用户的登录和注销活动,包括登录时间、来源IP地址、使用的用户名等信息。通过分析登录日志,你可以追踪入侵者的活动轨迹,确定入侵的时间和方式,比如:ssh 爆破。

1.1 /var/log/wtmp

登录成功后会记录的信息:用户、终端名、ip、时间、登录/注销状态。data 类型文件,使用 last 命令查看

1.2 /var/log/btmp.*

记录失败的登录尝试信息:用户、终端名、ip、时间。data 类型文件,使用 lastb 命令查看。

1.3 /var/log/lastlog

记录最近一次账户登录成功的信息:用户名、终端名、ip、登录时间。data类型文件,使用 lastlog 命令查看

1.4 /var/log/faillog 

相同的还有 /var/log/tallylog ,用于记录登录失败次数的文件,它通常用于限制用户登录失败次数的功能,使用 faillog 命令查看。当用户登录失败时,系统会记录失败的次数和时间戳到这个文件中。一旦失败次数达到一定限制,系统可能会暂时禁止该用户登录。

这个文件通常出现在一些早期的Linux系统中,在较新的系统中,这种登录失败次数限制的功能通常由 PAM 模块和 /var/log/secure 或 /var/log/auth.log 文件来实现和记录。

1.5 /var/log/secure 

一个常见于Red Hat 系统(如CentOS、Fedora)的安全日志文件,用于记录系统的安全相关事件,包括用户认证、授权和安全相关的事件,如 SSH,telnet,ftp 登录的成功和失败尝试。

# 查看 sshd 的登录日志
sudo grep sshd /var/log/secure

1.6 /var/log/auth.log 

 Ubuntu 系统下的,用于记录系统的安全相关事件,包括用户认证、授权和安全相关的事件,如SSH登录的成功和失败尝试。

# 查看 sshd 的登录日志
sudo grep sshd /var/log/auth.log

2. 系统日志

2.1 /var/log/cron.*

centos 下 crontab 计划任务执行记录

2.2 /var/log/syslog

linux 系统中的一个日志文件,用于记录系统的各种事件和消息。这些事件包括系统启动、关机、用户登录、网络连接、硬件故障、计划任务等。

# 查看 cron 执行的命令
sudo grep CRON /var/log/syslog

2.3  /var/log/audit/audit.*log

当 Linux 系统启用了审计功能,审计服务 audit 的日志文件会记录各种系统调用和进程操作。

审计日志可以包含以下类型的信息:

  1. 登录和登出事件: 记录用户的登录和登出活动,包括成功和失败的尝试。

  2. 文件和目录访问: 记录对文件和目录的访问,包括读取、写入和执行等操作。

  3. 进程启动和停止: 记录新进程的启动和终止,包括由哪个用户启动的。

  4. 系统调用: 记录系统调用的使用情况,允许审计每个进程的行为。

  5. SELinux 异常: 如果系统启用了 SELinux (Security-Enhanced Linux),那么相关的 SELinux 异常也会记录在审计日志中。

  6. 特权提升尝试: 记录尝试提升进程权限的操作,如尝试使用 sudo 或 su 命令。

  7. 网络活动: 记录网络相关的事件,如连接建立和断开、防火墙规则追踪等。

  8. 时间同步: 记录系统时间同步的事件,有助于确保系统时钟的准确性。

查看 ssh 登录失败的日志

sudo grep sshd /var/log/audit/audit.log|grep failed

3. 历史命令

3.1 ~/.bash_history

用户 home 目录下的隐藏文件,记录了该用户在终端中执行过的命令,可以永久保存用户的命令历史。这个文件会在用户退出登录时被更新,以记录最新的命令历史。

3.2 history

这是一个内置的 Bash 命令,用于显示用户在当前会话中执行过的命令历史。它会从用户的.bash_history文件中读取命令历史,并以编号的形式列出最近执行的命令。这个命令只会显示当前会话中的命令历史,不会保存到文件中。

HISTTIMEFORMAT 环境变量:设置HISTTIMEFORMAT环境变量可以让history命令显示命令的执行时间

 export HISTTIMEFORMAT="%F %T "history

3.3 /var/log/audit/audit.*log

当 linux 系统开启了 audit 审计服务,可以在 /etc/audit/rules.d/audit.rules 中添加一条规则,把执行的所有命令都记录到 /var/log/audit/audit.*log。通过 auditctl 管理 audit 规则,ausearch 查询记录。

把 /usr/bin 目录下的所有文件执行的命令记录到 audit 日志:

sudo echo "-w /usr/bin -p x -k command_executed" >> /etc/audit/rules.d/audit.rules

也可以使用 auditctl 命令临时添加 ,选项:

  • -w path :指定要监控的路径
  • -p :指定触发审计的文件/目录的访问权限 rwxa
    指定的触发条件,r 读取权限,w 写入权限,x 执行权限,a 属性(attr)
  • -k:在审核规则上设置过滤名称,方便后面使用 ausearch 查找
  • -R:读取来自指定文件的规则
  • -l:显示 audit 规则

[root@localhost/var/log]#echo "-w /usr/bin -p x -k command_executed" >> /etc/audit/rules.d/audit.rules              
[root@localhost/var/log]#auditctl -l
No rules
[root@localhost/var/log]#auditctl -R /etc/audit/rules.d/audit.rules
No rules
enabled 1
failure 1
pid 726
rate_limit 0
backlog_limit 8192
lost 0
backlog 4
enabled 1
failure 1
pid 726
rate_limit 0
backlog_limit 8192
lost 0
backlog 4
[root@localhost/var/log]#auditctl -l
-w /usr/bin/nc -p x -k command_executed
[root@localhost~]#nc -lvvp 1234
Ncat: Version 7.50 ( https://nmap.org/ncat )
Ncat: Listening on :::1234
Ncat: Listening on 0.0.0.0:1234

^C
[root@localhost/var/log]#ausearch -k command_executed
...
----
time->Wed Nov 22 12:35:08 2023
type=PROCTITLE msg=audit(1700627708.490:3641): proctitle=2F7573722F62696E2F6E63002D6C7676700031323334
type=PATH msg=audit(1700627708.490:3641): item=1 name="/lib64/ld-linux-x86-64.so.2" inode=169 dev=fd:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:ld_so_t:s0 nametype=NORMAL cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=PATH msg=audit(1700627708.490:3641): item=0 name="/usr/bin/nc" inode=50708290 dev=fd:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:bin_t:s0 nametype=NORMAL cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=CWD msg=audit(1700627708.490:3641): cwd="/root"
type=EXECVE msg=audit(1700627708.490:3641): argc=3 a0="/usr/bin/nc" a1="-lvvp" a2="1234"
type=SYSCALL msg=audit(1700627708.490:3641): arch=c000003e syscall=59 success=yes exit=0 a0=1048870 a1=105b1d0 a2=105ac80 a3=7ffdb8b117e0 items=2 ppid=23207 pid=23615 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=153 comm="nc" exe="/usr/bin/ncat" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="command_executed"
----

...
[root@localhost/var/log]#

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/214910.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

tp8 使用rabbitMQ(3)发布/订阅

发布/订阅 当我们想把一个消息,发送给 多个消费者的时候,我们把这种模式叫做发布/订阅模式,比如我们做两个消费者,其中一个消费者把消息写入磁盘中,别一个消费者把消息结果输出到屏幕上,就要用到发布订阅模…

井盖位移传感器生产厂家推荐,时刻感知井盖

马路上的井盖虽然看似微不足道,但实际上对于行人的“脚下安全”起着至关重要的作用。这些井盖下连接着供排水、燃气、电力、供热、通信等功能的管路和线路,是城市生命线运行的重要保障。因此保持井盖状态正常、明确管理责任是确保车辆和行人安全通行的重…

电源控制系统架构(PCSA)之系统分区电压域

目录 4.1 电压域 4.1.1 系统逻辑 4.1.2 Always-On逻辑 4.1.3 处理器Clusters 4.1.4 图形处理器 4.1.5 其他功能 4.1.6 SoC分区示例 本章描述基于Arm组件的SoC划分为电压域和电源域。 所描述的选择并不详尽,只是可能性的一个子集。目的是描述基于Arm组件的SoC…

重生之我是一名程序员 37 ——C语言中的栈溢出问题

哈喽啊大家晚上好! 今天呢给大家带来一个烧脑的知识——C语言中的栈溢出问题。那什么是栈溢出呢?栈溢出指的是当程序在执行函数调用时,为了保护函数的局部变量和返回地址,将这些数据存储在栈中。如果函数在函数调用时使用了过多的…

微服务实战系列之签名Sign

前言 昨日恰逢“小雪”节气,今日寒风如约而至。清晨的马路上,除了洋洋洒洒的落叶,就是熙熙攘攘的上班族。眼看着,暖冬愈明显了,叶子来不及泛黄就告别了树。变化总是在不经意中发生,容不得半刻糊涂。 上集博…

实现HTTP服务监听,快来试试springboot服务端接口公网远程调试

🌈个人主页:聆风吟 🔥系列专栏:网络奇遇记、Cpolar杂谈 🔖少年有梦不应止于心动,更要付诸行动。 文章目录 📋前言一. 本地环境搭建1.1 环境参数1.2 搭建springboot服务项目 二. 内网穿透2.1 安装…

SSM大学生社团信息管理系统-99953,(免费领取源码)计算机毕业设计选题开题+程序定制+论文书写+答辩ppt书写 包售后 全流程

SSM大学生社团信息管理系统APP 摘 要 随着科学技术的飞速发展,社会的方方面面、各行各业都在努力与现代的先进技术接轨,通过科技手段来提高自身的优势,高校当然也不能排除在外。大学生社团信息管理系统APP是以实际运用为开发背景&#xff0c…

友思特分享 | Neuro-T:零代码自动深度学习训练平台

来源:友思特 智能感知 友思特分享 | Neuro-T:零代码自动深度学习训练平台 欢迎关注虹科,为您提供最新资讯! 工业自动化、智能化浪潮涌进,视觉技术在其中扮演了至关重要的角色。在汽车、制造业、医药、芯片、食品等行业…

HDX读卡器牛羊管理RFID设备品牌

半双工HDX(Half Duplex)技术是ISO11784/5中规定的另一种标签与读写器之间的通讯方式,与全双工工(FDX)相比,HDX通常识别能力更强,有更大的识别距离。在HDX读写器的射频场与HDX标签响应期间关闭&a…

Linux:文件系统初步理解

文章目录 文件的初步理解C语言中对文件的接口系统调用的接口位图的理解open调用接口 文件和进程的关系进程和文件的低耦合 如何理解一切皆文件? 本篇总结的是关于Linux中文件的各种知识 文件的初步理解 在前面的文章中有两个观点,1. 文件 内容 属性&…

软著项目推荐 深度学习 opencv python 实现中国交通标志识别

文章目录 0 前言1 yolov5实现中国交通标志检测2.算法原理2.1 算法简介2.2网络架构2.3 关键代码 3 数据集处理3.1 VOC格式介绍3.2 将中国交通标志检测数据集CCTSDB数据转换成VOC数据格式3.3 手动标注数据集 4 模型训练5 实现效果5.1 视频效果 6 最后 0 前言 🔥 优质…

Presto+Alluxio数据平台实战

数新网络,让每个人享受数据的价值https://xie.infoq.cn/link?targethttps%3A%2F%2Fwww.datacyber.com%2F 一、Presto & Alluxio简介 Presto Presto是由Facebook开发的开源大数据分布式高性能 SQL查询引擎。 起初,Facebook使用Hive来进行交互式查询…