Linux用户登录记录日志和相关查看命令

Linux用户登录记录日志和相关查看命令

Linux用户登录信息放在三个文件中:

1  /var/run/utmp:记录当前正在登录系统的用户信息,默认由who和w记录当前登录用户的信息,uptime记录系统启动时间;

[root@root log]# cat /var/run/utmp
在这里插入图片描述

2  /var/log/wtmp:记录当前正在登录和历史登录系统的用户信息,默认由last命令查看;

[root@root log]# last -n 5/var/log/wtmp
在这里插入图片描述

3  /var/log/btmp:记录失败的登录尝试信息,默认由lastb命令查看。

[root@root log]# lastb -n 6/var/log/btmp
在这里插入图片描述

这三个文件都是二进制数据文件,并且三个文件结构完全相同,是由/usr/include/bits/utmp.h文件定义了这三个文件的结构体。

默认情况下文件的日志信息会通过logrotate日志管理工具定期清理。logrotate的配置文件是/etc/logrotate.conf,此处是logrotate的缺省设置,通常不需要对它进行修改。日志文件的轮循压缩等设置存放在独立的配置文件中,它(们)放在/etc/logrotate.d/目录下,它会覆盖缺省设置。

如果不想记录相关信息,则可以直接将相关文件删除即可。如果系统不存在该文件,则需要在此路径touch一个文件就可以继续记录相关信息了。

此外:

如果想禁用who命令,则只需要将utmp的可读权限去掉就行,这样非root用户就不能用此命令了;如果是btmp文件,手工创建的话注意权限必须为600,否则不能正确写入信息。

记录最后一次用户成功登陆的时间、登陆IP等信息
[pan@root ~]$ ==cat /var/log/lastlog ==
在这里插入图片描述
记录Linux操作系统常见的系统和服务错误信息
cat /var/log/messages
在这里插入图片描述
Linux系统安全日志,记录用户和工作组变化情况、用户登陆认证情况
[root@root log]# cat /var/log/secure
tail -f /var/log/secure 实时查看
在这里插入图片描述
记录系统登陆失败的用户、时间以及远程IP地址
[root@root log]# cat /var/log/btmp
在这里插入图片描述
暴力破解的人,不停的尝试各种用户名+各种密码,看来是有一个字典库了。
查看发起攻击的IP和攻击次数
Linux命令:cat /var/log/secure | awk ‘/Failed/{print $(NF-3)}’ | sort | uniq -c | awk ‘{print $2″ = “$1;}’
数据:
在这里插入图片描述


版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NSD1907/article/details/123814564