Linux 排查必看文件

目錄

1. 登錄日志

1.1 /var/log/wtmp

1.2 /var/log/btmp.*

1.3 /var/log/lastlog

1.4 /var/log/faillog?

1.5 /var/log/secure?

1.6 /var/log/auth.log?

2. 系統日志

2.1 /var/log/cron.*

2.2 /var/log/syslog

2.3? /var/log/audit/audit.*log

3. 歷史命令

3.1 ~/.bash_history

3.2?history

3.3 /var/log/audit/audit.*log


1. 登錄日志

登錄日志通常記錄了用戶的登錄和注銷活動,包括登錄時間、來源IP地址、使用的用戶名等信息。通過分析登錄日志,你可以追蹤入侵者的活動軌跡,確定入侵的時間和方式,比如:ssh 爆破。

1.1 /var/log/wtmp

登錄成功后會記錄的信息:用戶、終端名、ip、時間、登錄/注銷狀態。data 類型文件,使用 last 命令查看

1.2 /var/log/btmp.*

記錄失敗的登錄嘗試信息:用戶、終端名、ip、時間。data 類型文件,使用 lastb 命令查看。

1.3 /var/log/lastlog

記錄最近一次賬戶登錄成功的信息:用戶名、終端名、ip、登錄時間。data類型文件,使用 lastlog 命令查看

1.4 /var/log/faillog?

相同的還有 /var/log/tallylog ,用于記錄登錄失敗次數的文件,它通常用于限制用戶登錄失敗次數的功能,使用 faillog 命令查看。當用戶登錄失敗時,系統會記錄失敗的次數和時間戳到這個文件中。一旦失敗次數達到一定限制,系統可能會暫時禁止該用戶登錄。

這個文件通常出現在一些早期的Linux系統中,在較新的系統中,這種登錄失敗次數限制的功能通常由?PAM?模塊和?/var/log/secure?或?/var/log/auth.log?文件來實現和記錄。

1.5 /var/log/secure?

一個常見于Red?Hat?系統(如CentOS、Fedora)的安全日志文件,用于記錄系統的安全相關事件,包括用戶認證、授權和安全相關的事件,如 SSH,telnet,ftp 登錄的成功和失敗嘗試。

# 查看 sshd 的登錄日志
sudo grep sshd /var/log/secure

1.6 /var/log/auth.log?

?Ubuntu 系統下的,用于記錄系統的安全相關事件,包括用戶認證、授權和安全相關的事件,如SSH登錄的成功和失敗嘗試。

# 查看 sshd 的登錄日志
sudo grep sshd /var/log/auth.log

2. 系統日志

2.1 /var/log/cron.*

centos 下?crontab 計劃任務執行記錄

2.2 /var/log/syslog

linux 系統中的一個日志文件,用于記錄系統的各種事件和消息。這些事件包括系統啟動、關機、用戶登錄、網絡連接、硬件故障、計劃任務等。

# 查看 cron 執行的命令
sudo grep CRON /var/log/syslog

2.3? /var/log/audit/audit.*log

當 Linux 系統啟用了審計功能,審計服務 audit 的日志文件會記錄各種系統調用和進程操作。

審計日志可以包含以下類型的信息:

  1. 登錄和登出事件: 記錄用戶的登錄和登出活動,包括成功和失敗的嘗試。

  2. 文件和目錄訪問: 記錄對文件和目錄的訪問,包括讀取、寫入和執行等操作。

  3. 進程啟動和停止: 記錄新進程的啟動和終止,包括由哪個用戶啟動的。

  4. 系統調用: 記錄系統調用的使用情況,允許審計每個進程的行為。

  5. SELinux 異常: 如果系統啟用了 SELinux (Security-Enhanced Linux),那么相關的 SELinux 異常也會記錄在審計日志中。

  6. 特權提升嘗試: 記錄嘗試提升進程權限的操作,如嘗試使用 sudo 或 su 命令。

  7. 網絡活動: 記錄網絡相關的事件,如連接建立和斷開、防火墻規則追蹤等。

  8. 時間同步: 記錄系統時間同步的事件,有助于確保系統時鐘的準確性。

查看 ssh 登錄失敗的日志

sudo grep sshd /var/log/audit/audit.log|grep failed

3. 歷史命令

3.1 ~/.bash_history

用戶 home 目錄下的隱藏文件,記錄了該用戶在終端中執行過的命令,可以永久保存用戶的命令歷史。這個文件會在用戶退出登錄時被更新,以記錄最新的命令歷史。

3.2?history

這是一個內置的?Bash?命令,用于顯示用戶在當前會話中執行過的命令歷史。它會從用戶的.bash_history文件中讀取命令歷史,并以編號的形式列出最近執行的命令。這個命令只會顯示當前會話中的命令歷史,不會保存到文件中。

HISTTIMEFORMAT 環境變量:設置HISTTIMEFORMAT環境變量可以讓history命令顯示命令的執行時間

 export HISTTIMEFORMAT="%F %T "history

3.3 /var/log/audit/audit.*log

當 linux 系統開啟了 audit 審計服務,可以在?/etc/audit/rules.d/audit.rules 中添加一條規則,把執行的所有命令都記錄到 /var/log/audit/audit.*log。通過 auditctl 管理 audit 規則,ausearch 查詢記錄。

把 /usr/bin 目錄下的所有文件執行的命令記錄到 audit 日志:

sudo echo "-w /usr/bin -p x -k command_executed" >> /etc/audit/rules.d/audit.rules

也可以使用 auditctl 命令臨時添加 ,選項:

  • -w path :指定要監控的路徑
  • -p :指定觸發審計的文件/目錄的訪問權限 rwxa
    指定的觸發條件,r 讀取權限,w 寫入權限,x 執行權限,a 屬性(attr)
  • -k:在審核規則上設置過濾名稱,方便后面使用 ausearch 查找
  • -R:讀取來自指定文件的規則
  • -l:顯示 audit 規則

[root@localhost/var/log]#echo "-w /usr/bin?-p x -k command_executed" >> /etc/audit/rules.d/audit.rules ? ? ? ? ? ? ?
[root@localhost/var/log]#auditctl -l
No rules
[root@localhost/var/log]#auditctl -R /etc/audit/rules.d/audit.rules
No rules
enabled 1
failure 1
pid 726
rate_limit 0
backlog_limit 8192
lost 0
backlog 4
enabled 1
failure 1
pid 726
rate_limit 0
backlog_limit 8192
lost 0
backlog 4
[root@localhost/var/log]#auditctl -l
-w /usr/bin/nc -p x -k command_executed
[root@localhost~]#nc -lvvp 1234
Ncat: Version 7.50 ( https://nmap.org/ncat )
Ncat: Listening on :::1234
Ncat: Listening on 0.0.0.0:1234

^C
[root@localhost/var/log]#ausearch -k command_executed
...
----
time->Wed Nov 22 12:35:08 2023
type=PROCTITLE msg=audit(1700627708.490:3641): proctitle=2F7573722F62696E2F6E63002D6C7676700031323334
type=PATH msg=audit(1700627708.490:3641): item=1 name="/lib64/ld-linux-x86-64.so.2" inode=169 dev=fd:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:ld_so_t:s0 nametype=NORMAL cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=PATH msg=audit(1700627708.490:3641): item=0 name="/usr/bin/nc" inode=50708290 dev=fd:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:bin_t:s0 nametype=NORMAL cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=CWD msg=audit(1700627708.490:3641): cwd="/root"
type=EXECVE msg=audit(1700627708.490:3641): argc=3 a0="/usr/bin/nc" a1="-lvvp" a2="1234"
type=SYSCALL msg=audit(1700627708.490:3641): arch=c000003e syscall=59 success=yes exit=0 a0=1048870 a1=105b1d0 a2=105ac80 a3=7ffdb8b117e0 items=2 ppid=23207 pid=23615 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=153 comm="nc" exe="/usr/bin/ncat" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="command_executed"
----

...
[root@localhost/var/log]#

本文來自互聯網用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。
如若轉載,請注明出處:http://www.pswp.cn/news/167440.shtml
繁體地址,請注明出處:http://hk.pswp.cn/news/167440.shtml
英文地址,請注明出處:http://en.pswp.cn/news/167440.shtml

如若內容造成侵權/違法違規/事實不符,請聯系多彩編程網進行投訴反饋email:809451989@qq.com,一經查實,立即刪除!

相關文章

Docker 中OpenResty下載與使用

1Panel安裝OpenResty 查看到就說明安裝成功 部署項目 在http中添加: server { listen 8001; //端口號 server_name localhost; location / { root /admin; //項目路徑 index index.html index.htm; …

Java二級醫院區域HIS信息管理系統源碼(SaaS服務)

一個好的HIS系統,要具有開放性,便于擴展升級,增加新的功能模塊,支撐好醫院的業務的拓展,而且可以反過來給醫院賦能,最終向更多的患者提供更好的服務。 系統采用前后端分離架構,前端由Angular、J…

P1028 [NOIP2001 普及組] 數的計算

時刻記住一句話:寫遞歸,1畫圖,2大腦放空!!! 意思是,自己寫遞歸題目,先用樣例給的數據畫圖,然后想一個超級簡單的思路,直接套上去就可以了。 上題干&#xff…

牛客 HJ106 字符逆序 golang實現

牛客題目算法連接 題目 golang 實現 package mainimport ("fmt""bufio""os" )func main() {str, _ : bufio.NewReader(os.Stdin).ReadString(\n)if len(str) 0 {return } else {newstr:""strLen:len(str)-1for i:strLen;i>0;i-…

生產環境出現問題,測試人如何做工作復盤?

很多時候我們能把大部分的Bug或一些部署等問題在業務上線之前就解決了,但由于某些因素,線上問題還是時而出現,影響業務生產甚至是公司效益。 避免線上問題的發生以及線上問題及時處理是測試人員的一項重要職責,如何快速地處理&am…

XG916Ⅱ輪式裝載機后驅動橋設計機械設計CAD

wx供重浩:創享日記 對話框發送:裝載機 獲取完整論文報告工程源文件 本次設計內容為XG916Ⅱ裝載機后驅動橋設計,大致上分為主傳動的設計,差速器的設計,半軸的設計,最終傳動的設計四大部分。其中主傳動錐齒輪…

【多線程】Thread類的使用

目錄 1.概述 2.Thread的常見構造方法 3.Thread的幾個常見屬性 4.啟動一個線程-start() 5.中斷一個線程 5.1通過共享的標記來進行溝通 5.2 調用 interrupt() 方法來通知 6.等待一個進程 7.獲取當前線程引用 8.線程的狀態 8.1所有狀態 8.2線程狀態和轉移的意義 1.概述 …

Relabel與Metic Relabel

Prometheus支持多種方式的自動發現目標(targets),以下是一些常見的自動發現方式: 靜態配置:您可以在Prometheus配置文件中直接列出要監測的目標。這種方式適用于目標相對穩定的情況下,例如固定的服務器或設…

HCIA-RS基礎:動態路由協議基礎

摘要:本文介紹動態路由協議的基本概念,為后續動態路由協議原理課程提供基礎和引入。主要講解常見的動態路由協議、動態路由協議的分類,以及路由協議的功能和自治系統的概念。文章旨在優化標題吸引力,并通過詳細的內容夯實讀者對動…

自求導的方法實現線性回歸算法

線性回歸是一種常用的回歸算法,用于建立輸入變量和連續輸出變量之間的關系。傳統的線性回歸算法通常依賴于繁瑣的數學推導和梯度計算。但是,隨著深度學習的興起,自求導的方法逐漸成為實現線性回歸算法的有效途徑。本文將介紹如何使用自求導的…

視頻網站適合租用服務器嗎?

視頻網站適合租用服務器嗎? 談到服務器租用,在服務器租用市場中,通常比較常見的用戶群體有電商、外貿和視頻等網站。在這里相信很多用戶都有疑問:租用的服務器適不適合用來建立視頻網站呢?接下來我們一起來看看吧~ 首…

VMware安裝windows操作系統

一、下載鏡像包 地址:鏡像包地址。 找到需要的版本下載鏡像包。 二、安裝 打開VMware新建虛擬機,選擇用鏡像文件。將下載的鏡像包加載進去即可。

python opencv 邊緣檢測(sobel、沙爾算子、拉普拉斯算子、Canny)

python opencv 邊緣檢測(sobel、沙爾算子、拉普拉斯算子、Canny) 這次實驗,我們分別使用opencv 的 sobel算子、沙爾算子、拉普拉斯算子三種算子取進行邊緣檢測,然后后面又使用了Canny算法進行邊緣檢測。 直接看代碼,代…

論文導讀 | 10月專題內容精選:人的預測

編者按 本次論文導讀,編者選擇了10月份OR和MS上與"人的預測"有關的三篇文章,分別涉及群體智慧的提取,個體序列預測的評估,以及決策者對風險的扭曲感知在分布式魯棒優化中的應用。其中,從基于"生成式可能…

Django框架之csrf跨站請求

目錄 一、csrf跨站請求偽造詳解 二、csrf跨域請求偽造 【1】正常服務端 【2】釣魚服務端 三、csrf校驗 【介紹】 form表單中進行csrf校驗: 【1】form表單如何校驗 【2】ajax如何校驗 四、csrf相關裝飾器 【1】csrf_protect裝飾器: 【…

使用VUE3實現簡單顏色盤,吸管組件,useEyeDropper和<input type=“color“ />的使用

1.使用vueuse中的useEyeDropper來實現滴管的功能和使用input中的type"color"屬性來實現顏色盤 效果&#xff1a; 圖標觸發吸管 input觸發顏色盤 組件代碼部分 &#xff1a;<dropper> ---- vueuse使用 <template><div class"sRGBHexWrap fbc…

【Python百寶箱】第三維度的魔法:探索Python游戲世界

Python在游戲開發中的魔力 前言 游戲開發一直是計算機科學中最引人入勝和具有挑戰性的領域之一。隨著技術的不斷進步&#xff0c;開發者們尋找著更快、更靈活的工具來實現他們的創意。在這個探索的過程中&#xff0c;Python以其簡潔、易學和強大的特性成為了游戲開發的熱門選…

C#每天復習一個重要小知識day4:枚舉的概念/申明/使用

目錄 1.枚舉的概念&#xff1a; 2.申明枚舉和申明枚舉變量&#xff1a; 申明枚舉語法&#xff1a; 申明枚舉變量語法&#xff1a; 1.枚舉的概念&#xff1a; 枚舉是什么&#xff1f;枚舉是一個比較特別的存在&#xff0c;它是一個命名的整形常量的集合&#xff0c;一般用它…

Flume采集Kafka并把數據sink到OSS

安裝環境 Java環境, 略 (Flume依賴Java)Flume下載, 略Scala環境, 略 (Kafka依賴Scala)Kafak下載, 略Hadoop下載, 略 (不需要啟動, 寫OSS依賴) 配置Hadoop 下載JindoSDK(連接OSS依賴), 下載地址Github 解壓后配置環境變量 export JINDOSDK_HOME/usr/lib/jindosdk-x.x.x expo…

AWS CLI和EKSCTL的客戶端設置

文章目錄 小結過程安裝AWS CLI安裝EKSCTL在兩個Kubernetes Cluster之間切換 參考 小結 在Linux環境中對AWS CLI和EKSCTL的客戶端進行了設置。 過程 安裝AWS CLI 使用以下指令安裝&#xff1a; curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip"…