Linux下日志分析--Linux日志

简介

我们在企业里面，当我们把服务器放到了互联网当中去了以后，我们的服务器就可能被入侵。这就需要服务器的运维人员定期的对企业的服务器做定期的入侵检测，排查服务器是否被入侵。

下面将介绍入侵检测所用到的方法有：查看系统日志、查看异常流量、检查可疑进程、文件完整性检测等。

查看系统日志

查看linux系统类型及版本类型：

3.查看linux系统内核版本（版本不同执行的命令也不一样）

(1) cat /proc/version

Linux version 3.10.0-327.22.2.el7.x86_64 (builder@kbuilder.dev.centos.org) (gcc version 4.8.3 20140911 (Red Hat 4.8.3-9) (GCC) ) #1 SMP Thu Jun 23 17:05:11 UTC 2016

(2) uname -a

Linux iZuf62oby5qekm4qmwbmrcZ 3.10.0-327.22.2.el7.x86_64 #1 SMP Thu Jun 23 17:05:11 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux

4.查看linux系统发行版本

(a) lsb_release -a

LSB Version: :core-4.1-amd64:core-4.1-noarch
Distributor ID: CentOS
Description: CentOS Linux release 7.2.1511 (Core)
Release: 7.2.1511
Codename: Core

(b) cat /etc/redhat-release

CentOS Linux release 7.2.1511 (Core)

(c)  cat /etc/issue

Ubuntu 20.04 LTS \n \l

查看安全相关日志

centos7.9 日志文件介绍(其他版本可能略有不同，未作研究)：

centos系统 可以理解为redhat系统的克隆版（社区版），不收费，也不提供相应的商业服务。

centos 系统的日志文件路径：/var/log

• /var/log/messages: 内核及公共消息日志
• /var/log/cron: 计划任务日志
• /var/log/maillog: 邮件系统日志
•                         /var/log/lastlog: 最近的用户登录事件
•                          /var/log/secure:  与用户验证相关的安全事件  
• 用户登录日志：/var/log/wtmp：当前登录用户的详细信息
•                          /var/run/utmp：用户登录，注销及系统开关机事件
• Web 服务： /var/log/httpd/    access_log 、erroe_log
• 代理服务： /var/log/squid/    access_log 、erroe_log
• FTP服务： /var/log/xferlog

ubuntu 20.04 日志文件介绍(其他版本可能略有区别，未作研究)：

• alternatives.log-更新替代信息都记录在这个文件中
• apport.log -应用程序崩溃记录
• apt/   -用apt-get安装卸载软件的信息
• auth.log  -用户登录及身份认证日志
• boot.log  -包含系统启动时的日志。
• btmp    -记录所有失败启动信息
• Consolekit  - 记录控制台信
• cpus     - 涉及所有打印信息的日志
• dist-upgrade  - dist-upgrade这种更新方式的信息
• dmesg    -包含内核缓冲信息（kernel ringbuffer）。在系统启动时，显示屏幕上的与硬件有关的信息
• dpkg.log   - 包括安装或dpkg命令清除软件包的日志。
• debug  -调试日志信息
• daemon.log -运行squid，ntpd等其他日志消息
• faillog    - 包含用户登录失败信息。此外，错误登录命令也会记录在本文件中。
• fontconfig.log -与字体配置有关的log。
• fsck     - 文件系统日志
• faillog   -包含用户登录失败信息。此外，错误登录命令也会记录在本文件中。
• kern.log –包含内核产生的日志，有助于在定制内核时解决问题。
• lastlog —记录所有用户的最近信息。这不是一个ASCII文件，因此需要用lastlog命令查看内容。
• faillog –包含用户登录失败信息。此外，错误登录命令也会记录在本文件中。
• mail/ – 这个子目录包含邮件服务器的额外日志。
• mail.err    -类似于上面的
• message/  -常规日志信息
• samba/ -包含由samba存储的信息。
• wtmp -包含登录信息。使用wtmp可以找出谁正在登陆进入系统，谁使用命令显示这个文件或信息等。
• xorg.*.log -来自X的日志信息。
• user.log -所有用户级日志
• ufw -ufw防火墙日志
• gufw -gufw防火墙日志
   

ssh 远程登陆失败、成功的日志

安全日志（secure）,需要做备份

less  /var/log/secure    日志量往往很大，使用 less 或 more 查看，不能用cat

tail  -f  /var/log/secure  查看实时的日志变化用 tail -f

使用 grep 过滤，查看登录失败和登录成功的日志

grep -i Failed /var/log/secure           （过分好像被爆破啦）

grep  -i Accepted  /var/log/secure   （嘿、没爆破成功）

 grep -i Failed /var/log/secure |awk '{print $(NF-3)}' | sort | uniq -c | sort -rn  （再次过滤）

 爆破接近两千次的小伙，我已经把你举报了

查看有多少IP 在爆破主机的root 用户

grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

 登录成功的IP

grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

登录成功的 日期，用户名 IP

grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'