linux系統登陸日誌

㈠ linux裡面如何查看系統用戶登錄日誌

一、查看日誌文件
Linux查看/var/log/wtmp文件查看可疑IP登陸

last -f /var/log/wtmp

該日誌文件永久記錄每個用戶登錄、注銷及系統的啟動、停機的事件。因此隨著系統正常運行時間的增加，該文件的大小也會越來越大，

增加的速度取決於系統用戶登錄的次數。該日誌文件可以用來查看用戶的登錄記錄，

last命令就通過訪問這個文件獲得這些信息，並以反序從後向前顯示用戶的登錄記錄，last也能根據用戶、終端tty或時間顯示相應的記錄。

查看/var/log/secure文件尋找可疑IP登陸次數

二、 腳本生成所有登錄用戶的操作歷史
在linux系統的環境下，不管是root用戶還是其它的用戶只有登陸系統後用進入操作我們都可以通過命令history來查看歷史記錄，可是假如一台伺服器多人登陸，一天因為某人誤操作了刪除了重要的數據。這時候通過查看歷史記錄（命令：history）是沒有什麼意義了（因為history只針對登錄用戶下執行有效，即使root用戶也無法得到其它用戶histotry歷史）。那有沒有什麼辦法實現通過記錄登陸後的IP地址和某用戶名所操作的歷史記錄呢？答案：有的。

通過在/etc/profile裡面加入以下代碼就可以實現：

PS1="`whoami`@`hostname`:"'[$PWD]'
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
if [ ! -d /tmp/dbasky ]
then
mkdir /tmp/dbasky
chmod 777 /tmp/dbasky
fi
if [ ! -d /tmp/dbasky/${LOGNAME} ]
then
mkdir /tmp/dbasky/${LOGNAME}
chmod 300 /tmp/dbasky/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date "+%Y-%m-%d_%H:%M:%S"`
export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP}-dbasky.$DT"
chmod 600 /tmp/dbasky/${LOGNAME}/*dbasky* 2>/dev/null

source /etc/profile 使用腳本生效

退出用戶，重新登錄

?面腳本在系統的/tmp新建個dbasky目錄，記錄所有登陸過系統的用戶和IP地址（文件名），每當用戶登錄/退出會創建相應的文件，該文件保存這段用戶登錄時期內操作歷史，可以用這個方法來監測系統的安全性。

root@zsc6:[/tmp/dbasky/root]ls
10.1.80.47 dbasky.2013-10-24_12:53:08
root@zsc6:[/tmp/dbasky/root]cat 10.1.80.47 dbasky.2013-10-24_12:53:08

㈡ linux緋葷粺涓涓庣敤鎴風櫥褰曠浉鍏崇殑鏃ュ織鏂囦歡鏈

鍦↙inux緋葷粺涓錛屼笌鐢ㄦ埛鐧誨綍鐩稿叧鐨勬棩蹇楁枃浠朵富瑕佹湁浠ヤ笅鍑犱釜錛

1.`/var/log/auth.log`錛榪欎釜鏂囦歡璁板綍浜嗙郴緇熶笂鎵鏈夌殑鐢ㄦ埛鐧誨綍浜嬩歡錛屽寘鎷灝濊瘯鐧誨綍鍜屾垚鍔熺殑鐧誨綍銆傚畠鍖呭惈浜嗙敤鎴瘋緭鍏ョ殑鐢ㄦ埛鍚嶃両P鍦板潃銆佺櫥褰曟椂闂寸瓑淇℃伅銆傝繖涓鏂囦歡涓昏佺敤浜庣郴緇熺＄悊鍛樺垎鏋愮敤鎴風殑鐧誨綍琛屼負錛屼互媯嫻嬪彲鑳界殑闈炴硶鐧誨綍鎴栨伓鎰忚屼負銆

2./var/log/secure錛氳繖涓鏂囦歡鍦ㄦ煇浜汱inux鍙戣岀増涓瀛樺湪錛屽畠鎻愪緵浜嗕笌瀹夊叏鐩稿叧鐨勭櫥褰曟棩蹇椾俊鎮錛屼緥濡傚瘑鐮佷涪澶便佽處鎴瘋В閿佺瓑浜嬩歡銆備笉榪囬渶瑕佹敞鎰忕殑鏄錛岃繖涓鏂囦歡鐨勫唴瀹瑰彲鑳戒細鍥犱負涓嶅悓鐨勫彂琛岀増鍜岄厤緗鏈夋墍涓嶅悓銆

3./var/log/messages錛鍦ㄦ煇浜汱inux鍙戣岀増涓錛/var/log/messages鏂囦歡涔熺敤浜庤板綍鐢ㄦ埛鐧誨綍浜嬩歡銆備笌/var/log/auth.log綾諱技錛屽畠涔熷寘鍚浜嗙敤鎴風櫥褰曠殑鐩稿叧淇℃伅錛屽傜敤鎴峰悕銆両P鍦板潃絳夈

榪欎簺鏃ュ織鏂囦歡閫氬父鐢辯郴緇熷畧鎶よ繘紼嬶紙濡俛uthlog鎴杝ecure錛夎嚜鍔ㄨ板綍錛屽苟瀹氭湡鍐欏叆鍒扮佺洏涓銆傝繖浜涙棩蹇楁枃浠跺逛簬緋葷粺綆＄悊鍛樺拰瀹夊叏涓撳舵潵璇撮潪甯擱噸瑕侊紝鍥犱負浠栦滑鍙浠ヤ粠涓鑾峰彇鏈夊叧緋葷粺瀹夊叏鎬х殑閲嶈佷俊鎮錛屼緥濡傛槸鍚﹀瓨鍦ㄦ湭緇忔巿鏉冪殑鐧誨綍灝濊瘯銆佹槸鍚﹀瓨鍦ㄥ瘑鐮佹硠闇茬瓑銆

㈢ 濡備綍鍦 Linux 緋葷粺涓鏌ョ湅緋葷粺鏃ュ織

Linux 緋葷粺鐨勬棩蹇楀姛鑳界姽濡備竴搴т赴瀵岀殑瀹濆簱錛岃板綍鐫緋葷粺鐨勮繍琛屽巻紼嬪拰鍏抽敭浜嬩歡錛屽逛簬鏁呴殰鎺掓煡鍜屾ц兘浼樺寲璧風潃鑷沖叧閲嶈佺殑浣滅敤銆

涓銆佸懡浠よ屽伐鍏風殑楂樻晥鏌ヨ

1. journalctl錛氱郴緇熸棩蹇楃殑瀹堟姢鑰

journalctl錛屼綔涓簊ystemd鐨勫己澶у伐鍏鳳紝鏄鏌ョ湅緋葷粺鏃ュ織鐨勯栭夈傞氳繃綆鍗曠殑鍛戒護 journalctl錛屽嵆鍙嫻忚堟墍鏈夋棩蹇楋紝鎸夐渶絳涢夛紝濡 journalctl -n 50 鏄劇ず鏈榪50鏉¤板綍錛屾垨 journalctl -u nginx.service 鏌ョ湅nginx鏈嶅姟鐩稿叧鐨勬棩蹇椼

2. dmesg錛氬唴鏍告棩蹇楃殑紿楀彛

浜屻佹繁鍏ユ棩蹇楁枃浠剁殑鎺㈢儲

緋葷粺鏃ュ織鏂囦歡闅愯棌鐫鏃犲敖淇℃伅錛屼緥濡傦細

• /var/log/messages錛 涓絝欏紡鏌ョ湅緋葷粺娑堟伅錛屾兜鐩栧唴鏍稿拰搴旂敤紼嬪簭銆


• /var/log/syslog錛 syslog瀹堟姢榪涚▼鐨勪駭鐗╋紝涓/messages鍐呭圭浉浼箋


• /var/log/auth.log錛 璁板綍璁よ瘉鍜屾巿鏉冧簨浠訛紝濡傜敤鎴風櫥褰曞拰sudo鎿嶄綔銆


• /var/log/dmesg錛 鍐呮牳鐜緙撳啿鍖猴紝涓巇mesg鍛戒護杈撳嚭涓鑷淬

閫氳繃 cat鍛戒護鎴 tail -n 50鎴鍙栭儴鍒嗕俊鎮錛屾繁鍏ヤ簡瑙ｇ郴緇熺殑榪愯岀粏鑺傘

涓夈佸浘褰㈠寲宸ュ叿鐨勪究鎹蜂綋楠

鍥懼艦鐣岄潰宸ュ叿涓虹郴緇熸棩蹇楃＄悊澧炴坊浜嗗弸濂界晫闈錛屽侴NOME Logs鍜孠SystemLog錛屽畠浠鍦ㄥ悇鑷鐨勬岄潰鐜澧冧腑鎻愪緵鐩磋傜殑鏃ュ織鏌ラ槄銆傚悓鏃訛紝鍍廘ogwatch榪欐牱鐨勫懡浠よ屽伐鍏鳳紝榪樿兘鐢熸垚鏃ュ織鎶ュ憡錛岀畝鍖栫＄悊嫻佺▼銆

瀵逛簬鎯寵佹繁鍏ュ︿範Linux鐨勬湅鍙嬩滑錛屾垜綺懼績鏁寸悊浜嗕赴瀵岀殑瀛︿範璧勬簮錛屽寘鎷瑙嗛戞暀紼嬨佺數瀛愪功鍜孭PT錛岀偣鍑婚摼鎺ュ嵆鍙鍏嶈垂鑾峰彇錛屽姪鍔涙偍鐨勫︿範涔嬫棶錛10T瀛︿範璧勬枡錛屾棤浠諱綍闅愯棌鏉′歡錛屾湡寰呮偍鐨勫彂鎺樺拰鍒嗕韓銆

鎰熻阿鎮ㄥ規垜鐨勫叧娉錛佸湪寮婧愪箣瀹訛紝鎮ㄥ皢鎵懼埌鏇村氬疄鐢ㄧ殑Linux鐭ヨ瘑銆傚傛灉鏈鏂囧規偍鏈夊府鍔╋紝璇風粰浜堢偣璧炲拰鏀惰棌錛屾偍鐨勬敮鎸佹槸鎴戝壋浣滅殑鍔ㄥ姏婧愭硥銆傛湡寰呮偍鐨勫弽棣堝拰鍒嗕韓錛岃╂垜浠鍏卞悓鎴愰暱錛

㈣ 鎬庢牱鏌ョ湅Linux鏃ュ織錛

濡備綍鏌ョ湅鏈嶅姟鍣ㄦ棩蹇楋紝濡備綍鏌ョ湅鏈嶅姟鍣ㄦ棩蹇

1.鐩鎬俊緇忓父緙栫▼鐨勬湅鍙嬮兘鐭ラ亾錛屽綋紼嬪簭鍑洪敊鏃訛紝鍙浠ユ煡鐪嬫湇鍔″櫒鏃ュ織錛屼簡瑙ｅ備綍瑙ｅ喅閿欒銆

2.鐒跺悗錛屼互Win2008涓轟緥錛岃茶堪濡備綍鏌ョ湅鏈嶅姟鍣ㄦ棩蹇椼

3.鏂規硶/姝ラ:(1)榪涘叆Win2008鏈嶅姟鍣錛岀偣鍑誨紑濮嬶紝鎵懼埌鎺у埗闈㈡澘銆

4.(2)鐐瑰嚮榪涘叆鎺у埗闈㈡澘錛屾壘鍒扮＄悊宸ュ叿銆

5.(3)鎵懼埌綆＄悊宸ュ叿騫跺崟鍑諱簨浠舵煡鐪嬪櫒銆

6.(4)榪涘叆浜嬩歡鏌ョ湅鍣錛屽睍寮Windows鏃ュ織錛岀偣鍑葷郴緇燂紝淇℃伅浼氭樉紺哄湪鍙充晶銆

7.(5)鏌ョ湅浜嬩歡鏌ョ湅鍣ㄧ殑鍙充晶錛屾垜浠浼氱湅鍒板睘鎬ч夐」錛岃繖浜涢夐」宸茶鍦堝湪綰㈡嗕腑銆

8.(6)鍗曞嚮灞炴у悗錛屾垜浠灝嗙湅鍒版湇鍔″櫒鏃ュ織鐨勮礬寰勩

dell鏈嶅姟鍣ㄦ煡鐪媌ios鏃ュ織錛

鏂規硶涓錛氱洿鎺ヨ繘bios鏌ョ湅

鍦ㄥ紑鏈哄惎鍔ㄨ繃紼嬩腑錛岀瑪璁版湰涓鑸鎸塅2錛屽彴寮忔満涓鑸鎸塂el錛岃繘bios錛岀劧鍚庢壘鍒癇IOSVer鎴朾iosversion錛屽氨鏄痓ios鐗堟湰銆備笉鍚屽搧鐗岀數鑴戝紑鏈鴻繘BIOS鐣岄潰鏂規硶銆

鏂規硶浜岋細閫氳繃璇婃柇宸ュ叿鏌ョ湅

1銆佸悓鏃舵寜涓媁indows+R蹇鎹烽敭鎵撳紑榪愯岋紝杈撳叆dxdiag錛岀『瀹氾紱

2銆佹墦寮DirectX璇婃柇宸ュ叿錛屽湪緋葷粺閫夐」鍗★紝鏌ョ湅BIOS榪欎竴琛岋紝鍗沖彲鐪嬪埌bios鐗堟湰淇℃伅銆

鏂規硶涓夛細閫氳繃鍛戒護鏌ヨ

1銆佸悓鏃舵寜涓媁indows+R蹇鎹烽敭鎵撳紑榪愯岋紝杈撳叆powershell錛岀『瀹氾紱

2銆佸湪鍛戒護鎻愮ず妗嗭紝杈撳叆gwmi_classwin32_bios鎴杇wmi_classwin32_biossmbiosbiosversion錛屾寜鍥炶濺閿鎵ц岋紝鍗沖彲鏌ョ湅褰撳墠鐢佃剳涓繪澘鐨凚IOS淇℃伅銆

Linux涓婇儴緗茬殑鏈嶅姟鍣錛屾庝箞鏌ョ湅瀹炴椂鏃ュ織錛

linux鐨勬棩蹇椾竴鑸閮芥槸鍦/var/log/messages閲岄潰錛岃櫧鐒朵粬鏄瀹炴椂鏇存柊鍐呭圭殑錛屼絾鏄鐢ㄦ埛闇瑕乧at鏂囦歡鎵嶈兘鐪嬪埌鍐呭瑰傛灉浣犲笇鏈涘疄鏃剁湅鍒扮殑璇濓紝灝變竴涓姣旇緝鑰佸湡鐨勭増鏈錛岀敤tail-f/var/log/messages榪欐牱鐨勮瘽浠栦竴鏈夋洿鏂板氨浼氬睆鏄

濡備綍鏌ョ湅鏈嶅姟鍣ㄧ敤鎴風櫥闄嗘棩蹇楋紵

棰樹富鏄鐪嬪埌澶勭悊鍣ㄥ崰鐢ㄨ繃楂樻鐤戣鏀誨嚮鐨勩傞栧厛浣犲簲璇ョ湅涓嬫湇鍔″櫒榪涚▼鍗犵敤錛岀湅鐪嬫槸鍝浜涜繘紼嬶紝濡傛灉鏄痺eb鏈嶅姟榪涚▼鍗犵敤楂樸傛帴涓嬫潵灝辯患鍚堣嚜宸辨湇鍔″櫒鐨勯厤緗錛岀劧鍚庢鏌ュ綋鏃剁殑璁塊棶閲忥紝鐪嬫槸涓嶆槸紿佸炵殑澶ч噺璁塊棶閫犳垚銆傚彲浠ラ氳繃緗戠珯鏃ュ織浠ュ強絎涓夋柟緇熻″伐鍏鋒潵媯鏌ャ傛槸鐨勮瘽媯鏌ヨ繖浜涜塊棶鏄姝ｅ父鐢ㄦ埛璁塊棶榪樻槸鏈哄櫒璁塊棶銆傛満鍣ㄨ塊棶鐨勮瘽灝辮冭檻CC鏀誨嚮銆傚彲浠ラ傚綋瀹夎呬竴浜涜蔣浠墮槻鐏澧欏睆钄戒竴閮ㄥ垎銆

鍏充簬鏈嶅姟鍣ㄧ淮鎶わ紝榪欎釜闂棰樺緢澶э紝鏈嶅姟鍣ㄧ淮鎶や笉鏄涓鍙ヤ袱鍙ヨ兘璇村畬鐨勩傚彲浠ヨ冭檻浠ヤ笅涓や釜鏂歸潰錛

鏈嶅姟鍣ㄥ畨鍏ㄨ劇疆

鍏抽棴涓嶅繀瑕佺殑鏈嶅姟鍣ㄧ鍙ｏ紝Windows緋誨垪鏈嶅姟鍣ㄥ彲浠ュ畨瑁呬竴浜涢槻鎶よ蔣浠訛紝linux涓婄殑涓浜轟嬌鐢ㄥ嚑嬈懼規ц兘娑堣楄緝澶э紝緗戠珯鐩稿簲寰堟參榪欓噷涓嶅仛鎺ㄨ崘銆俵inux寮鍚瀵嗛掗鐧婚檰鏈嶅姟鍣ㄧ瓑銆

鏈嶅姟鍣ㄦц兘璁劇疆

緙撳瓨浼樺寲錛屾暟鎹搴撴ц兘璁劇疆浼樺寲錛孭HP鎬ц兘璁劇疆錛孭HP鎵╁睍鎬ц兘緇勪歡絳夈

浠ヤ笂鏄涓昏侀渶瑕佽冭檻鐨勪袱涓鏂歸潰銆傚叾浠栫殑姣斿傛槗鐢ㄦх瓑鐪嬭嚜宸辨儏鍐墊潵浼樺寲銆

python鍚鍔ㄦ湇鍔″櫒涓婂惎鍔ㄥ悗濡備綍鏌ョ湅鏃ュ織錛

榪涘叆python瀹夎呯洰褰曢噷闈㈡煡鐪嬫棩蹇楁枃浠

windows鏃ュ織淇濆瓨鏃墮棿鎬庝箞鐪嬶紵

1銆佸湪鎵撳紑鐨勬帶鍒墮潰鏉垮綋涓錛屼互鈥欑被鍒鈥樻柟寮忔潵鏌ョ湅鏃訛紝鐐瑰嚮緋葷粺鍜屽畨鍏錛

2銆佸湪鈥欑郴緇熷拰瀹夊叏鈥橀潰鏉誇腑鎵懼埌鈥欑＄悊宸ュ叿鈥橈紝鐐瑰嚮涓嬮潰鐨勨欐煡鐪嬩簨浠舵棩蹇椻橈紝灝卞彲浠ユ墦寮鈥欎簨浠舵煡鐪嬪櫒鈥樹簡銆

㈤ linux緋葷粺鏃ュ織鏌ョ湅linux緋葷粺鏃ュ織鏌ョ湅

linux涓嬫煡鎵炬棩蹇楃殑鎶宸э紵

鍏堝繀欏諱簡瑙ｄ袱涓鏈鍩烘湰鐨勫懡浠:

tail-n10test.log鏌ヨ㈡棩蹇楀熬閮ㄦ渶鍚10琛岀殑鏃ュ織;

tail-n+10test.log鏌ヨ10琛屼箣鍚庣殑鎵鏈夋棩蹇;

head-n10test.log鏌ヨ㈡棩蹇楁枃浠朵腑鐨勫ご10琛屾棩蹇;

head-n-10test.log鏌ヨ㈡棩蹇楁枃浠墮櫎浜嗘渶鍚10琛岀殑鍏朵粬鎵鏈夋棩蹇;