linux系统登陆日志

㈠ linux里面如何查看系统用户登录日志

一、查看日志文件
Linux查看/var/log/wtmp文件查看可疑IP登陆

last -f /var/log/wtmp

该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加，该文件的大小也会越来越大，

增加的速度取决于系统用户登录的次数。该日志文件可以用来查看用户的登录记录，

last命令就通过访问这个文件获得这些信息，并以反序从后向前显示用户的登录记录，last也能根据用户、终端tty或时间显示相应的记录。

查看/var/log/secure文件寻找可疑IP登陆次数

二、 脚本生成所有登录用户的操作历史
在linux系统的环境下，不管是root用户还是其它的用户只有登陆系统后用进入操作我们都可以通过命令history来查看历史记录，可是假如一台服务器多人登陆，一天因为某人误操作了删除了重要的数据。这时候通过查看历史记录（命令：history）是没有什么意义了（因为history只针对登录用户下执行有效，即使root用户也无法得到其它用户histotry历史）。那有没有什么办法实现通过记录登陆后的IP地址和某用户名所操作的历史记录呢？答案：有的。

通过在/etc/profile里面加入以下代码就可以实现：

PS1="`whoami`@`hostname`:"'[$PWD]'
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
if [ ! -d /tmp/dbasky ]
then
mkdir /tmp/dbasky
chmod 777 /tmp/dbasky
fi
if [ ! -d /tmp/dbasky/${LOGNAME} ]
then
mkdir /tmp/dbasky/${LOGNAME}
chmod 300 /tmp/dbasky/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date "+%Y-%m-%d_%H:%M:%S"`
export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP}-dbasky.$DT"
chmod 600 /tmp/dbasky/${LOGNAME}/*dbasky* 2>/dev/null

source /etc/profile 使用脚本生效

退出用户，重新登录

?面脚本在系统的/tmp新建个dbasky目录，记录所有登陆过系统的用户和IP地址（文件名），每当用户登录/退出会创建相应的文件，该文件保存这段用户登录时期内操作历史，可以用这个方法来监测系统的安全性。

root@zsc6:[/tmp/dbasky/root]ls
10.1.80.47 dbasky.2013-10-24_12:53:08
root@zsc6:[/tmp/dbasky/root]cat 10.1.80.47 dbasky.2013-10-24_12:53:08

㈡ linux绯荤粺涓涓庣敤鎴风櫥褰曠浉鍏崇殑鏃ュ織鏂囦欢鏈

鍦↙inux绯荤粺涓锛屼笌鐢ㄦ埛鐧诲綍鐩稿叧鐨勬棩蹇楁枃浠朵富瑕佹湁浠ヤ笅鍑犱釜锛

1.`/var/log/auth.log`锛杩欎釜鏂囦欢璁板綍浜嗙郴缁熶笂鎵鏈夌殑鐢ㄦ埛鐧诲綍浜嬩欢锛屽寘鎷灏濊瘯鐧诲綍鍜屾垚鍔熺殑鐧诲綍銆傚畠鍖呭惈浜嗙敤鎴疯緭鍏ョ殑鐢ㄦ埛鍚嶃両P鍦板潃銆佺櫥褰曟椂闂寸瓑淇℃伅銆傝繖涓鏂囦欢涓昏佺敤浜庣郴缁熺＄悊鍛樺垎鏋愮敤鎴风殑鐧诲綍琛屼负锛屼互妫娴嬪彲鑳界殑闈炴硶鐧诲綍鎴栨伓鎰忚屼负銆

2./var/log/secure锛氳繖涓鏂囦欢鍦ㄦ煇浜汱inux鍙戣岀増涓瀛樺湪锛屽畠鎻愪緵浜嗕笌瀹夊叏鐩稿叧鐨勭櫥褰曟棩蹇椾俊鎭锛屼緥濡傚瘑鐮佷涪澶便佽处鎴疯В閿佺瓑浜嬩欢銆備笉杩囬渶瑕佹敞鎰忕殑鏄锛岃繖涓鏂囦欢鐨勫唴瀹瑰彲鑳戒細鍥犱负涓嶅悓鐨勫彂琛岀増鍜岄厤缃鏈夋墍涓嶅悓銆

3./var/log/messages锛鍦ㄦ煇浜汱inux鍙戣岀増涓锛/var/log/messages鏂囦欢涔熺敤浜庤板綍鐢ㄦ埛鐧诲綍浜嬩欢銆備笌/var/log/auth.log绫讳技锛屽畠涔熷寘鍚浜嗙敤鎴风櫥褰曠殑鐩稿叧淇℃伅锛屽傜敤鎴峰悕銆両P鍦板潃绛夈

杩欎簺鏃ュ織鏂囦欢閫氬父鐢辩郴缁熷畧鎶よ繘绋嬶紙濡俛uthlog鎴杝ecure锛夎嚜鍔ㄨ板綍锛屽苟瀹氭湡鍐欏叆鍒扮佺洏涓銆傝繖浜涙棩蹇楁枃浠跺逛簬绯荤粺绠＄悊鍛樺拰瀹夊叏涓撳舵潵璇撮潪甯搁噸瑕侊紝鍥犱负浠栦滑鍙浠ヤ粠涓鑾峰彇鏈夊叧绯荤粺瀹夊叏鎬х殑閲嶈佷俊鎭锛屼緥濡傛槸鍚﹀瓨鍦ㄦ湭缁忔巿鏉冪殑鐧诲綍灏濊瘯銆佹槸鍚﹀瓨鍦ㄥ瘑鐮佹硠闇茬瓑銆

㈢ 濡備綍鍦 Linux 绯荤粺涓鏌ョ湅绯荤粺鏃ュ織

Linux 绯荤粺鐨勬棩蹇楀姛鑳界姽濡備竴搴т赴瀵岀殑瀹濆簱锛岃板綍鐫绯荤粺鐨勮繍琛屽巻绋嬪拰鍏抽敭浜嬩欢锛屽逛簬鏁呴殰鎺掓煡鍜屾ц兘浼樺寲璧风潃鑷冲叧閲嶈佺殑浣滅敤銆

涓銆佸懡浠よ屽伐鍏风殑楂樻晥鏌ヨ

1. journalctl锛氱郴缁熸棩蹇楃殑瀹堟姢鑰

journalctl锛屼綔涓簊ystemd鐨勫己澶у伐鍏凤紝鏄鏌ョ湅绯荤粺鏃ュ織鐨勯栭夈傞氳繃绠鍗曠殑鍛戒护 journalctl锛屽嵆鍙娴忚堟墍鏈夋棩蹇楋紝鎸夐渶绛涢夛紝濡 journalctl -n 50 鏄剧ず鏈杩50鏉¤板綍锛屾垨 journalctl -u nginx.service 鏌ョ湅nginx鏈嶅姟鐩稿叧鐨勬棩蹇椼

2. dmesg锛氬唴鏍告棩蹇楃殑绐楀彛

浜屻佹繁鍏ユ棩蹇楁枃浠剁殑鎺㈢储

绯荤粺鏃ュ織鏂囦欢闅愯棌鐫鏃犲敖淇℃伅锛屼緥濡傦細

• /var/log/messages锛 涓绔欏紡鏌ョ湅绯荤粺娑堟伅锛屾兜鐩栧唴鏍稿拰搴旂敤绋嬪簭銆


• /var/log/syslog锛 syslog瀹堟姢杩涚▼鐨勪骇鐗╋紝涓/messages鍐呭圭浉浼笺


• /var/log/auth.log锛 璁板綍璁よ瘉鍜屾巿鏉冧簨浠讹紝濡傜敤鎴风櫥褰曞拰sudo鎿嶄綔銆


• /var/log/dmesg锛 鍐呮牳鐜缂撳啿鍖猴紝涓巇mesg鍛戒护杈撳嚭涓鑷淬

閫氳繃 cat鍛戒护鎴 tail -n 50鎴鍙栭儴鍒嗕俊鎭锛屾繁鍏ヤ簡瑙ｇ郴缁熺殑杩愯岀粏鑺傘

涓夈佸浘褰㈠寲宸ュ叿鐨勪究鎹蜂綋楠

鍥惧舰鐣岄潰宸ュ叿涓虹郴缁熸棩蹇楃＄悊澧炴坊浜嗗弸濂界晫闈锛屽侴NOME Logs鍜孠SystemLog锛屽畠浠鍦ㄥ悇鑷鐨勬岄潰鐜澧冧腑鎻愪緵鐩磋傜殑鏃ュ織鏌ラ槄銆傚悓鏃讹紝鍍廘ogwatch杩欐牱鐨勫懡浠よ屽伐鍏凤紝杩樿兘鐢熸垚鏃ュ織鎶ュ憡锛岀畝鍖栫＄悊娴佺▼銆

瀵逛簬鎯宠佹繁鍏ュ︿範Linux鐨勬湅鍙嬩滑锛屾垜绮惧績鏁寸悊浜嗕赴瀵岀殑瀛︿範璧勬簮锛屽寘鎷瑙嗛戞暀绋嬨佺數瀛愪功鍜孭PT锛岀偣鍑婚摼鎺ュ嵆鍙鍏嶈垂鑾峰彇锛屽姪鍔涙偍鐨勫︿範涔嬫梾锛10T瀛︿範璧勬枡锛屾棤浠讳綍闅愯棌鏉′欢锛屾湡寰呮偍鐨勫彂鎺樺拰鍒嗕韩銆

鎰熻阿鎮ㄥ规垜鐨勫叧娉锛佸湪寮婧愪箣瀹讹紝鎮ㄥ皢鎵惧埌鏇村氬疄鐢ㄧ殑Linux鐭ヨ瘑銆傚傛灉鏈鏂囧规偍鏈夊府鍔╋紝璇风粰浜堢偣璧炲拰鏀惰棌锛屾偍鐨勬敮鎸佹槸鎴戝垱浣滅殑鍔ㄥ姏婧愭硥銆傛湡寰呮偍鐨勫弽棣堝拰鍒嗕韩锛岃╂垜浠鍏卞悓鎴愰暱锛

㈣ 鎬庢牱鏌ョ湅Linux鏃ュ織锛

濡備綍鏌ョ湅鏈嶅姟鍣ㄦ棩蹇楋紝濡備綍鏌ョ湅鏈嶅姟鍣ㄦ棩蹇

1.鐩镐俊缁忓父缂栫▼鐨勬湅鍙嬮兘鐭ラ亾锛屽綋绋嬪簭鍑洪敊鏃讹紝鍙浠ユ煡鐪嬫湇鍔″櫒鏃ュ織锛屼簡瑙ｅ備綍瑙ｅ喅閿欒銆

2.鐒跺悗锛屼互Win2008涓轰緥锛岃茶堪濡備綍鏌ョ湅鏈嶅姟鍣ㄦ棩蹇椼

3.鏂规硶/姝ラ:(1)杩涘叆Win2008鏈嶅姟鍣锛岀偣鍑诲紑濮嬶紝鎵惧埌鎺у埗闈㈡澘銆

4.(2)鐐瑰嚮杩涘叆鎺у埗闈㈡澘锛屾壘鍒扮＄悊宸ュ叿銆

5.(3)鎵惧埌绠＄悊宸ュ叿骞跺崟鍑讳簨浠舵煡鐪嬪櫒銆

6.(4)杩涘叆浜嬩欢鏌ョ湅鍣锛屽睍寮Windows鏃ュ織锛岀偣鍑荤郴缁燂紝淇℃伅浼氭樉绀哄湪鍙充晶銆

7.(5)鏌ョ湅浜嬩欢鏌ョ湅鍣ㄧ殑鍙充晶锛屾垜浠浼氱湅鍒板睘鎬ч夐」锛岃繖浜涢夐」宸茶鍦堝湪绾㈡嗕腑銆

8.(6)鍗曞嚮灞炴у悗锛屾垜浠灏嗙湅鍒版湇鍔″櫒鏃ュ織鐨勮矾寰勩

dell鏈嶅姟鍣ㄦ煡鐪媌ios鏃ュ織锛

鏂规硶涓锛氱洿鎺ヨ繘bios鏌ョ湅

鍦ㄥ紑鏈哄惎鍔ㄨ繃绋嬩腑锛岀瑪璁版湰涓鑸鎸塅2锛屽彴寮忔満涓鑸鎸塂el锛岃繘bios锛岀劧鍚庢壘鍒癇IOSVer鎴朾iosversion锛屽氨鏄痓ios鐗堟湰銆備笉鍚屽搧鐗岀數鑴戝紑鏈鸿繘BIOS鐣岄潰鏂规硶銆

鏂规硶浜岋細閫氳繃璇婃柇宸ュ叿鏌ョ湅

1銆佸悓鏃舵寜涓媁indows+R蹇鎹烽敭鎵撳紑杩愯岋紝杈撳叆dxdiag锛岀‘瀹氾紱

2銆佹墦寮DirectX璇婃柇宸ュ叿锛屽湪绯荤粺閫夐」鍗★紝鏌ョ湅BIOS杩欎竴琛岋紝鍗冲彲鐪嬪埌bios鐗堟湰淇℃伅銆

鏂规硶涓夛細閫氳繃鍛戒护鏌ヨ

1銆佸悓鏃舵寜涓媁indows+R蹇鎹烽敭鎵撳紑杩愯岋紝杈撳叆powershell锛岀‘瀹氾紱

2銆佸湪鍛戒护鎻愮ず妗嗭紝杈撳叆gwmi_classwin32_bios鎴杇wmi_classwin32_biossmbiosbiosversion锛屾寜鍥炶溅閿鎵ц岋紝鍗冲彲鏌ョ湅褰撳墠鐢佃剳涓绘澘鐨凚IOS淇℃伅銆

Linux涓婇儴缃茬殑鏈嶅姟鍣锛屾庝箞鏌ョ湅瀹炴椂鏃ュ織锛

linux鐨勬棩蹇椾竴鑸閮芥槸鍦/var/log/messages閲岄潰锛岃櫧鐒朵粬鏄瀹炴椂鏇存柊鍐呭圭殑锛屼絾鏄鐢ㄦ埛闇瑕乧at鏂囦欢鎵嶈兘鐪嬪埌鍐呭瑰傛灉浣犲笇鏈涘疄鏃剁湅鍒扮殑璇濓紝灏变竴涓姣旇緝鑰佸湡鐨勭増鏈锛岀敤tail-f/var/log/messages杩欐牱鐨勮瘽浠栦竴鏈夋洿鏂板氨浼氬睆鏄

濡備綍鏌ョ湅鏈嶅姟鍣ㄧ敤鎴风櫥闄嗘棩蹇楋紵

棰樹富鏄鐪嬪埌澶勭悊鍣ㄥ崰鐢ㄨ繃楂樻鐤戣鏀诲嚮鐨勩傞栧厛浣犲簲璇ョ湅涓嬫湇鍔″櫒杩涚▼鍗犵敤锛岀湅鐪嬫槸鍝浜涜繘绋嬶紝濡傛灉鏄痺eb鏈嶅姟杩涚▼鍗犵敤楂樸傛帴涓嬫潵灏辩患鍚堣嚜宸辨湇鍔″櫒鐨勯厤缃锛岀劧鍚庢鏌ュ綋鏃剁殑璁块棶閲忥紝鐪嬫槸涓嶆槸绐佸炵殑澶ч噺璁块棶閫犳垚銆傚彲浠ラ氳繃缃戠珯鏃ュ織浠ュ強绗涓夋柟缁熻″伐鍏锋潵妫鏌ャ傛槸鐨勮瘽妫鏌ヨ繖浜涜块棶鏄姝ｅ父鐢ㄦ埛璁块棶杩樻槸鏈哄櫒璁块棶銆傛満鍣ㄨ块棶鐨勮瘽灏辫冭檻CC鏀诲嚮銆傚彲浠ラ傚綋瀹夎呬竴浜涜蒋浠堕槻鐏澧欏睆钄戒竴閮ㄥ垎銆

鍏充簬鏈嶅姟鍣ㄧ淮鎶わ紝杩欎釜闂棰樺緢澶э紝鏈嶅姟鍣ㄧ淮鎶や笉鏄涓鍙ヤ袱鍙ヨ兘璇村畬鐨勩傚彲浠ヨ冭檻浠ヤ笅涓や釜鏂归潰锛

鏈嶅姟鍣ㄥ畨鍏ㄨ剧疆

鍏抽棴涓嶅繀瑕佺殑鏈嶅姟鍣ㄧ鍙ｏ紝Windows绯诲垪鏈嶅姟鍣ㄥ彲浠ュ畨瑁呬竴浜涢槻鎶よ蒋浠讹紝linux涓婄殑涓浜轰娇鐢ㄥ嚑娆惧规ц兘娑堣楄緝澶э紝缃戠珯鐩稿簲寰堟參杩欓噷涓嶅仛鎺ㄨ崘銆俵inux寮鍚瀵嗛挜鐧婚檰鏈嶅姟鍣ㄧ瓑銆

鏈嶅姟鍣ㄦц兘璁剧疆

缂撳瓨浼樺寲锛屾暟鎹搴撴ц兘璁剧疆浼樺寲锛孭HP鎬ц兘璁剧疆锛孭HP鎵╁睍鎬ц兘缁勪欢绛夈

浠ヤ笂鏄涓昏侀渶瑕佽冭檻鐨勪袱涓鏂归潰銆傚叾浠栫殑姣斿傛槗鐢ㄦх瓑鐪嬭嚜宸辨儏鍐垫潵浼樺寲銆

python鍚鍔ㄦ湇鍔″櫒涓婂惎鍔ㄥ悗濡備綍鏌ョ湅鏃ュ織锛

杩涘叆python瀹夎呯洰褰曢噷闈㈡煡鐪嬫棩蹇楁枃浠

windows鏃ュ織淇濆瓨鏃堕棿鎬庝箞鐪嬶紵

1銆佸湪鎵撳紑鐨勬帶鍒堕潰鏉垮綋涓锛屼互鈥欑被鍒鈥樻柟寮忔潵鏌ョ湅鏃讹紝鐐瑰嚮绯荤粺鍜屽畨鍏锛

2銆佸湪鈥欑郴缁熷拰瀹夊叏鈥橀潰鏉夸腑鎵惧埌鈥欑＄悊宸ュ叿鈥橈紝鐐瑰嚮涓嬮潰鐨勨欐煡鐪嬩簨浠舵棩蹇椻橈紝灏卞彲浠ユ墦寮鈥欎簨浠舵煡鐪嬪櫒鈥樹簡銆

㈤ linux绯荤粺鏃ュ織鏌ョ湅linux绯荤粺鏃ュ織鏌ョ湅

linux涓嬫煡鎵炬棩蹇楃殑鎶宸э紵

鍏堝繀椤讳簡瑙ｄ袱涓鏈鍩烘湰鐨勫懡浠:

tail-n10test.log鏌ヨ㈡棩蹇楀熬閮ㄦ渶鍚10琛岀殑鏃ュ織;

tail-n+10test.log鏌ヨ10琛屼箣鍚庣殑鎵鏈夋棩蹇;

head-n10test.log鏌ヨ㈡棩蹇楁枃浠朵腑鐨勫ご10琛屾棩蹇;

head-n-10test.log鏌ヨ㈡棩蹇楁枃浠堕櫎浜嗘渶鍚10琛岀殑鍏朵粬鎵鏈夋棩蹇;