标签:grep log 响应 记录 备忘录 var 日志 应急 secure
前言
我们在处理日常的应急响应还是事件排查过程中很多时候最直接面对的事情就是查日志,但是很多日志很杂,也不知道具体记录着什么,因此笔者一般边查边搜,为查漏补缺,特此记录:
linux日志
日志类型
日志类型大致可以分为三类,内核和系统日志、用户日志、应用日志。
内核和系统日志:这种日志主要由syslog管理、根据其配置文件/etc/syslog.conf中的设置决定内核消息和各种系统程序信息记录到哪个位置。
用户日志:用户日志主要记录系统用户登录或者退出的信息,包括用户名账号、登录时间、源IP等。
应用日志:记录应用程序运行过程中的各种事件信息。
常见的日志文件
日志文件
说明
/var/log/messages
记录系统重要信息日志
/var/log/secure
记录验证和授权方面的信息,例如ssh登录、su切换用户、添加用户等
/var/log/maillog
记录系统运行电子邮件服务器的日志信息。
/var/log/cron
记录系统定时任务相关日志
/var/log/boot.log
记录系统启动时候的日志,包括自启动的服务
/var/log/dmesg
记录内核缓冲信息
/var/log/bmtp
记录所有登录失败的日志
/var/log/wtmp
用户每次登录进入和退出时间的永久记录
/var/log/lastlog
记录所有用户的最近信息。
通常日志文件都会存放在/var/log/ 文件夹下
btmp、wtmp是二进制文件,可用打开方式:
last -fa /var/log/btmp:
对linux日志有所熟悉,才能在需要的时候快速地找出问题所在,及时解决问题。
日志分析
在日志分析的过程中,大部分日志文件都可以通过使用cat、tail、more等文本处理工具就可以查看日志内容。举例栗子:
针对secure日志,可以使用grep、awk、sort等命令工具对secure日志进行分析,
例如
- 定位有多少个IP对root帐号进行爆破
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
2. 对爆破的IP进行定位
grep "Failed password" /var/log/secure | grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)" | uniq -c
3. 登录成功的日期、用户名、IP
grep "Accepted" /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
4.增加和删除用户
grep “useradd”or “userdel”/var/log/secure
针对应用程序的日志,也可以使用以上命令组合使用。如果日志容量过大的话,可以使用split命令工具对其进行分割,对应的命令为 split -b ***MB/BB/KB filename -d -a 数字后缀长度 文件名前缀,例如:
split -b 5MB /var/log/message -d -a 2 message
如果服务器是通过网站被入侵的情况下,可以把应用程序的access.log日志中状态码为200的记录,grep定向到文本中,再进行整理分析,这样能快速地入侵定位IP、上传的文件等。
grep " 200 " *.log > *.log
针对用户日志的话,只能使用last,w,who等命令工具进行分析。例如我们对wtmp日志进行查看,使用last -f wtmp
last 可以添加-t参数,查看特定日期之前登录的IP等信息。
标签:grep,log,响应,记录,备忘录,var,日志,应急,secure 来源: https://www.cnblogs.com/xxws/p/15610489.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。