Linux 排查必看文件

目录

1. 登录日志

1.1 /var/log/wtmp

1.2 /var/log/btmp.*

1.3 /var/log/lastlog

1.4 /var/log/faillog 

1.5 /var/log/secure 

1.6 /var/log/auth.log 

2. 系统日志

2.1 /var/log/cron.*

2.2 /var/log/syslog

2.3  /var/log/audit/audit.*log

3. 历史命令

3.1 ~/.bash_history

3.2 history

3.3 /var/log/audit/audit.*log


1. 登录日志

登录日志通常记录了用户的登录和注销活动,包括登录时间、来源IP地址、使用的用户名等信息。通过分析登录日志,你可以追踪入侵者的活动轨迹,确定入侵的时间和方式,比如:ssh 爆破。

1.1 /var/log/wtmp

登录成功后会记录的信息:用户、终端名、ip、时间、登录/注销状态。data 类型文件,使用 last 命令查看

1.2 /var/log/btmp.*

记录失败的登录尝试信息:用户、终端名、ip、时间。data 类型文件,使用 lastb 命令查看。

1.3 /var/log/lastlog

记录最近一次账户登录成功的信息:用户名、终端名、ip、登录时间。data类型文件,使用 lastlog 命令查看

1.4 /var/log/faillog 

相同的还有 /var/log/tallylog ,用于记录登录失败次数的文件,它通常用于限制用户登录失败次数的功能,使用 faillog 命令查看。当用户登录失败时,系统会记录失败的次数和时间戳到这个文件中。一旦失败次数达到一定限制,系统可能会暂时禁止该用户登录。

这个文件通常出现在一些早期的Linux系统中,在较新的系统中,这种登录失败次数限制的功能通常由 PAM 模块和 /var/log/secure 或 /var/log/auth.log 文件来实现和记录。

1.5 /var/log/secure 

一个常见于Red Hat 系统(如CentOS、Fedora)的安全日志文件,用于记录系统的安全相关事件,包括用户认证、授权和安全相关的事件,如 SSH,telnet,ftp 登录的成功和失败尝试。

# 查看 sshd 的登录日志
sudo grep sshd /var/log/secure

1.6 /var/log/auth.log 

 Ubuntu 系统下的,用于记录系统的安全相关事件,包括用户认证、授权和安全相关的事件,如SSH登录的成功和失败尝试。

# 查看 sshd 的登录日志
sudo grep sshd /var/log/auth.log

2. 系统日志

2.1 /var/log/cron.*

centos 下 crontab 计划任务执行记录

2.2 /var/log/syslog

linux 系统中的一个日志文件,用于记录系统的各种事件和消息。这些事件包括系统启动、关机、用户登录、网络连接、硬件故障、计划任务等。

# 查看 cron 执行的命令
sudo grep CRON /var/log/syslog

2.3  /var/log/audit/audit.*log

当 Linux 系统启用了审计功能,审计服务 audit 的日志文件会记录各种系统调用和进程操作。

审计日志可以包含以下类型的信息:

  1. 登录和登出事件: 记录用户的登录和登出活动,包括成功和失败的尝试。

  2. 文件和目录访问: 记录对文件和目录的访问,包括读取、写入和执行等操作。

  3. 进程启动和停止: 记录新进程的启动和终止,包括由哪个用户启动的。

  4. 系统调用: 记录系统调用的使用情况,允许审计每个进程的行为。

  5. SELinux 异常: 如果系统启用了 SELinux (Security-Enhanced Linux),那么相关的 SELinux 异常也会记录在审计日志中。

  6. 特权提升尝试: 记录尝试提升进程权限的操作,如尝试使用 sudo 或 su 命令。

  7. 网络活动: 记录网络相关的事件,如连接建立和断开、防火墙规则追踪等。

  8. 时间同步: 记录系统时间同步的事件,有助于确保系统时钟的准确性。

查看 ssh 登录失败的日志

sudo grep sshd /var/log/audit/audit.log|grep failed

3. 历史命令

3.1 ~/.bash_history

用户 home 目录下的隐藏文件,记录了该用户在终端中执行过的命令,可以永久保存用户的命令历史。这个文件会在用户退出登录时被更新,以记录最新的命令历史。

3.2 history

这是一个内置的 Bash 命令,用于显示用户在当前会话中执行过的命令历史。它会从用户的.bash_history文件中读取命令历史,并以编号的形式列出最近执行的命令。这个命令只会显示当前会话中的命令历史,不会保存到文件中。

HISTTIMEFORMAT 环境变量:设置HISTTIMEFORMAT环境变量可以让history命令显示命令的执行时间

 export HISTTIMEFORMAT="%F %T "
 history

3.3 /var/log/audit/audit.*log

当 linux 系统开启了 audit 审计服务,可以在 /etc/audit/rules.d/audit.rules 中添加一条规则,把执行的所有命令都记录到 /var/log/audit/audit.*log。通过 auditctl 管理 audit 规则,ausearch 查询记录。

把 /usr/bin 目录下的所有文件执行的命令记录到 audit 日志:

sudo echo "-w /usr/bin -p x -k command_executed" >> /etc/audit/rules.d/audit.rules

也可以使用 auditctl 命令临时添加 ,选项:

  • -w path :指定要监控的路径
  • -p :指定触发审计的文件/目录的访问权限 rwxa
    指定的触发条件,r 读取权限,w 写入权限,x 执行权限,a 属性(attr)
  • -k:在审核规则上设置过滤名称,方便后面使用 ausearch 查找
  • -R:读取来自指定文件的规则
  • -l:显示 audit 规则

[root@localhost/var/log]#echo "-w /usr/bin -p x -k command_executed" >> /etc/audit/rules.d/audit.rules              
[root@localhost/var/log]#auditctl -l
No rules
[root@localhost/var/log]#auditctl -R /etc/audit/rules.d/audit.rules
No rules
enabled 1
failure 1
pid 726
rate_limit 0
backlog_limit 8192
lost 0
backlog 4
enabled 1
failure 1
pid 726
rate_limit 0
backlog_limit 8192
lost 0
backlog 4
[root@localhost/var/log]#auditctl -l
-w /usr/bin/nc -p x -k command_executed
[root@localhost~]#nc -lvvp 1234
Ncat: Version 7.50 ( https://nmap.org/ncat )
Ncat: Listening on :::1234
Ncat: Listening on 0.0.0.0:1234

^C
[root@localhost/var/log]#ausearch -k command_executed
...
----
time->Wed Nov 22 12:35:08 2023
type=PROCTITLE msg=audit(1700627708.490:3641): proctitle=2F7573722F62696E2F6E63002D6C7676700031323334
type=PATH msg=audit(1700627708.490:3641): item=1 name="/lib64/ld-linux-x86-64.so.2" inode=169 dev=fd:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:ld_so_t:s0 nametype=NORMAL cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=PATH msg=audit(1700627708.490:3641): item=0 name="/usr/bin/nc" inode=50708290 dev=fd:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:bin_t:s0 nametype=NORMAL cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=CWD msg=audit(1700627708.490:3641): cwd="/root"
type=EXECVE msg=audit(1700627708.490:3641): argc=3 a0="/usr/bin/nc" a1="-lvvp" a2="1234"
type=SYSCALL msg=audit(1700627708.490:3641): arch=c000003e syscall=59 success=yes exit=0 a0=1048870 a1=105b1d0 a2=105ac80 a3=7ffdb8b117e0 items=2 ppid=23207 pid=23615 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=153 comm="nc" exe="/usr/bin/ncat" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="command_executed"
----

...
[root@localhost/var/log]#

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/185274.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Linux基本命令操作 —— 文件夹/文件的创建,删除,查看,重命名......(简单理解 快速上手)

目录 1. 基础命令 1.1 显示当前目录:pwd 1.2 改变当前目录:cd 2. 文件夹的操作命令 2.1 创建文件夹:mkdir 2.2 查看文件夹:ls 2.3 删除文件夹:rmdir (不推荐) 2.4 复制文件夹&#xff1…

数据分析基础之《matplotlib(2)—折线图》

一、折线图绘制与保存图片 1、matplotlib.pyplot模块 matplotlib.pyplot包含了一系列类似于matlab的画图函数。它的函数作用于当前图形(figure)的当前坐标系(axes) import matplotlib.pyplot as plt 2、折线图绘制与显示 展示城…

科普:多领域分布式协同仿真

分布式协同仿真是一种在分布式计算环境中进行协同工作的仿真方法。使用该方法进行协同仿真时,仿真任务将被分发到多个计算节点上,并且这些节点可以同时工作以模拟完整的系统行为。分布式协同仿真已被广泛应用于工程、科学和军事领域,以便更好…

交叉导轨在光学工作台起什么重要作用?

光学工作台常常需要承载和移动各种光学元件和仪器,如望远镜、显微镜、光谱仪等,这些设备需要在空间中进行精确的定位和稳定支撑,而交叉导轨作为一种高精度、高刚度的直线传动元件,为光学工作台提供了重要的支撑和导向。 1>交叉…

Python开源项目之人工智能老照片修复算法学习

文章目录 前言项目环境搭建conda虚拟环境创建激活环境Pytorch安装Synchronized-BatchNorm-PyTorch repository安装Global目录Synchronized-BatchNorm-PyTorch项目部署检测预处理模型下载下载脸部增强模型文件下载依赖完整部署后项目结构 项目使用验证一下总结关于Python技术储备…

万宾科技可燃气体监测仪的功能有哪些?

随着城市人口的持续增长和智慧城市不断发展,燃气作为一种重要的能源供应方式,已经广泛地应用于居民生活和工业生产的各个领域。然而燃气泄漏和安全事故的风险也随之增加,对城市的安全和社会的稳定构成了潜在的威胁。我国燃气管道安全事故的频…

喜讯!云起无垠成为国家信息安全漏洞库(CNNVD)技术支撑单位

近日,云起无垠凭借其在漏洞挖掘、漏洞检测以及漏洞修复等领域的卓越表现,荣获“国家信息安全漏洞库(CNNVD)技术支撑单位等级证书(三级)”,正式成为CNNVD技术支撑单位。 中国国家信息安全漏洞库&…

Doris中的物化视图-查询(十九)

物化视图创建完成后,用户的查询会根据规则自动匹配到最优的物化视图。 比如我们有一张销售记录明细表,并且在这个明细表上创建了三张物化视图。一个存储了不同时间不同销售员的售卖量,一个存储了不同时间不同门店的销售量,以及每…

Linux【安全 01】云服务器主机安全加固(修改SSHD端口、禁用登陆失败的IP地址、使用密钥登录)

云服务器主机安全加固 1.SSH登录尝试的系统日志信息2.安全加固方法2.1 修改SSHD端口2.2 禁用登陆失败的IP地址2.3 使用密钥登录 3.总结 1.SSH登录尝试的系统日志信息 Last failed login: Sat Oct 7 14:10:39 CST 2023 from xxx.xx.xx.xxx on ssh:notty There were 10 failed …

仙女麻麻看过来~这是不是你们在找的外套?

分享女儿的秋冬穿搭 时尚与美观兼具的毛毛外套 洋气百搭不挑人穿 谁穿对都好看系列 经典宽松版型 不臃肿对身材包容性很强 小编墙裂推荐哦!!

计算机组成原理-磁盘存储器

文章目录 总览外存储器磁盘存储器磁盘的性能指标磁盘地址磁盘的工作过程磁盘阵列 总结 总览 外存储器 磁盘存储器 写是利用电流产生磁场从而写磁盘 读是利用载磁体移动时产生的电场从而得到数据 磁性材质易受外界磁场干扰 下图中 载磁体上N S的前后顺序代表对应存储二进制的比…

nginx的n种用法(nginx安装+正向代理+反向代理+透明代理+负载均衡+静态服务器)

nginx的安装 一、安装依赖 # 一键安装四个依赖 yum -y install gcc zlib zlib-devel pcre-devel openssl openssl-devel二、安装nginx yum install nginx三、检查是否安装成功 nginx -v四、启动/停止nginx /etc/init.d/nginx start /etc/init.d/nginx stop五、编辑配置文件…

Git永久或者限时保存用户名及密码,解决每次拉取或者提交代码时都需要手动输入验证信息

介绍 这里以我自身项目情况为例: 依据项目要求,这边使用了 TortoiseGit进行项目的统一管理,下载了 TortoiseGit克隆项目之后,每次拉取或者提交代码,都会弹出一个提示框,要求输入用户名及密码。 解决方式 单个仓库内设置,只作用于对当前仓库 在当前项目目录文件夹下,…

面试:ShardingSphere问题

文章目录 什么是ShardingSphere,它的主要功能是什么?ShardingSphere的核心模块有哪些?他们是如何工作的?ShardingSphere 的读写分离是如何实现的?如何配置ShardingSphere的数据分片策略?ShardingSphere支持…

广告屏LED屏断电检测远程控制开关方案应用钡铼技术S270

广告屏LED屏断电检测: 广告屏和LED屏在商业和公共场所的广泛应用中扮演着重要角色,但由于断电问题可能导致广告屏无法正常显示,进而影响广告宣传效果和客户体验。而S270作为一种高效稳定的远程控制开关,可以实现广告屏LED屏的断电…

UEditor编辑器实现上传图片自动加水印功能PHP源码

UEditor编辑器是百度旗下的免费开源富文本编辑器,使用很方便,但是也有缺点,比如,上传图片不能自动添加水印,下边我们就来说说如何在UEditor编辑器中自动实现上传图片添加水印功能,操作很简单。 首先找到UEditor/PHP目录下的Uploader.class.php的文件,打开该文件,找到以…

oracle的debjob挂載及查詢

背景 有一個需求需要定時去執行一個produce,可以使用oracle的dbjob定時執行,相比較之前的vbs更加絲滑 --傳遞produce 開始的時間 頻率 declarea number;beginDBMS_JOB.SUBMIT(a,xx_warehouse_daliy_record_p;,to_date(202311230800,yyyymmddhh24mi),…

win11渗透武器库,囊括所有渗透工具

开箱即用,最全的武器库,且都是2023年11月最新版,后续自己还可以再添加,下载地址:https://download.csdn.net/download/weixin_59679023/88565739 服务连接 信息收集工具 端口扫描 代理抓包 漏洞扫描 指纹识别 webshel…

解释PCIe MSI 中断要求中断向量连续?PCIe 规范里并没有明确指出

MSI 向量必须连续? 前言 MSI 物理条件,MSI 中断产生的逻辑是RC初始化的时候,由软件将配置写入到 EP 的 2 个寄存器中,这两个寄存器一个指示的是地址 Message Address,一个指示的是数据 Message Data。当 EP 试图触发…