ssh登录日志,ssh登录记录,最近ssh登录
linux登錄日志 ?/var/log/secure????(root用戶可以刪除該文件)
日志對(duì)于安全非常重要,記錄了系統(tǒng)每天發(fā)生的各種事情,通過日志檢查錯(cuò)誤發(fā)生的原因,或者***后留下的痕跡。所有日志記錄的信息都包含時(shí)間戳。
日志功能主要有:審計(jì)和檢測(cè)。可以實(shí)時(shí)檢測(cè)系統(tǒng)狀態(tài),檢測(cè)和追蹤***者。
linux系統(tǒng)中,三個(gè)主要的日志子系統(tǒng):
連接時(shí)間日志---由多個(gè)程序執(zhí)行,把把記錄寫到/var/log/wtmp和/var/log/utmp,login等程序更新wtmp和utmp文件,使系統(tǒng)管理員能夠追蹤到誰在何時(shí)登錄系統(tǒng)
進(jìn)程統(tǒng)計(jì)--由系統(tǒng)內(nèi)核執(zhí)行。當(dāng)一個(gè)進(jìn)程終止時(shí),為每個(gè)進(jìn)程往進(jìn)程統(tǒng)計(jì)文件(pacct和acct)中寫入一個(gè)記錄。進(jìn)程統(tǒng)計(jì)的目的是為系統(tǒng)中的基本服務(wù)提供命令使用統(tǒng)計(jì)。
錯(cuò)誤日志--由syslogd(8)執(zhí)行。各種系統(tǒng)守護(hù)進(jìn)程、用戶程序和內(nèi)核通過syslog(3)向文件/var/log/messages報(bào)告值得注意的事件。另外有許多UNIX程序創(chuàng)建日志,像HTTP和FTP這樣提供網(wǎng)路服務(wù)的服務(wù)的服務(wù)器也保持詳細(xì)的日志。
常用的日志文件如下:
????access-log????記錄HTTP/web的傳輸
????xferlog????? ?幾路FTP會(huì)話
????acct/pacct????記錄用戶命令
????messages????? 從syslog中記錄信息(有的鏈接到syslog文件)
? ? aculog????????記錄MODEM的活動(dòng)
????sudolog????? ?記錄sudo發(fā)出的命令
????sulog?????????記錄su命令的使用,記錄在/var/log/secure中
????syslog????????從syslog中記錄信息(通常鏈接到messages文件)
? ? lastlog????? ?記錄最近幾次成功登錄的事件和最后一次不成功的登錄
????utmp????????? 記錄當(dāng)前登錄的每個(gè)用戶
????wtmp????????? 一個(gè)用戶每次登錄進(jìn)入和退出時(shí)間的永久記錄,包括數(shù)據(jù)交換、關(guān)機(jī)重啟信息
? ? btmp???????? ?記錄失敗的記錄
utmp、wtmp和lastlog入職文件是多數(shù)重用UNIX日志子系統(tǒng)的關(guān)鍵--保持用戶登錄和退出的記錄。
wtmp文件可以無限增長,除非定期截取,通常在大量用戶的系統(tǒng)中增長十分迅速。許多系統(tǒng)以一天或者一周為單位對(duì)wtmp配置成循環(huán)使用。通常由cron運(yùn)行的腳本來修改,重新命名wtmp文件(加時(shí)間后綴名),從而可以循環(huán)使用wtmp文件。
每次有一個(gè)用戶登錄時(shí),login程序在lastlog文件中查看用戶的UID。如果找到,則把用戶上次登錄、退出時(shí)間和主機(jī)名寫到標(biāo)準(zhǔn)輸出中,然后login程序在lastlog中記錄新的登錄時(shí)間。在新的lastlog記錄寫入后,utmp文件打開并插入用戶utmp記錄。該記錄一直用到用戶登錄退出時(shí)刪除。utmp文件被各種命令文件使用,包括who/w/users/finger。
另外login程序打開wtmp文件,將utmp記錄追加到wtmp文件中,當(dāng)用戶退出時(shí),具有跟新時(shí)間戳的同一utmp記錄追加到wtmp文件中。wtmp文件被last/ac使用。
具體命令:
wtmp和utmp文件都是二進(jìn)制文件,他們不能被諸如tail命令剪貼合并甚至打開。用戶需要使用who/w/users/last/ac命令來調(diào)用信息。
????who:????查詢utmp文件并報(bào)告當(dāng)前登錄的每個(gè)用戶信息。who的標(biāo)準(zhǔn)輸出格式包括:用戶名、終端類型、登錄日期和遠(yuǎn)程主機(jī)ip。who /var/log/wtmp 則會(huì)把自從wtmp文件創(chuàng)建或刪改以來的每次登錄(和last作用類似,很少使用)。
[root@python02 log]# who
transfor pts/0 ? ? ? ?2015-09-24 06:45 (122.10.70.66)
transfor pts/1 ? ? ? ?2015-09-25 01:01 (122.10.70.66)
transfor pts/2 ? ? ? ?2015-09-25 02:24 (122.10.70.66)
????w: ? ? ?查詢utmp文件并顯示當(dāng)前系統(tǒng)中每個(gè)用戶和它所運(yùn)行的進(jìn)程信息。例如:
[root@python02 log]# w
?06:15:32 up 13 days, ?7:10, ?4 users, ?load average: 0.57, 0.47, 0.43
USER ? ? TTY ? ? ? ?LOGIN@ ? IDLE ? JCPU ? PCPU WHAT
transfor pts/0 ? ? Thu06 ? 23:45m ?0.54s ?0.11s sshd: transfor [priv]
????users:? ?用單獨(dú)的一行打印出當(dāng)前登錄用戶,每個(gè)顯示的用戶名對(duì)應(yīng)一個(gè)登錄會(huì)話。如果一個(gè)用戶有不止一個(gè)的登錄會(huì)話,那顯示那個(gè)用戶名相同的次數(shù)。
[root@python02 log]# users
transfor transfor transfor transfor
? ? last:????往回搜索wtmp來顯示自從文件第一次創(chuàng)建以來登錄過的用戶。
[root@python02 log]# last
transfor pts/3 ? ? ? ?122.10.70.66 ? ? Fri Sep 25 09:41 ? still logged in ??
transfor pts/3 ? ? ? ?122.10.70.66 ? ? Fri Sep 25 09:19 - 09:28 ?(00:08) ? ?
transfor pts/3 ? ? ? ?122.10.70.66 ? ? Fri Sep 25 02:56 - 03:34 ?(00:38) ? ?
transfor pts/2 ? ? ? ?122.10.70.66 ? ? Fri Sep 25 02:24 ? still logged in ??
transfor pts/1 ? ? ? ?122.10.70.66 ? ? Fri Sep 25 01:01 ? still logged in ??
transfor pts/1 ? ? ? ?122.10.70.66 ? ? Thu Sep 24 06:56 - 23:06 ?(16:09) ? ?
transfor pts/0 ? ? ? ?122.10.70.66 ? ? Thu Sep 24 06:45 ? still logged in ??
transfor pts/0 ? ? ? ?122.10.70.66 ? ? Wed Sep 23 03:52 - 21:35 ?(17:42) ? ?
transfor pts/0 ? ? ? ?122.10.70.66 ? ? Sat Sep 19 02:32 - 06:20 ?(03:47) ? ?
transfor pts/2 ? ? ? ?122.10.70.66 ? ? Thu Sep 17 05:48 - 22:55 (1+17:06) ??
transfor pts/1 ? ? ? ?122.10.70.66 ? ? Thu Sep 17 05:25 - 22:55 (1+17:29) ?
? ????
linux查看相應(yīng)日志:
????#less /var/log/secure
????#less /var/log/messages???? ? ?
轉(zhuǎn)載于:https://blog.51cto.com/jschu/1698446
總結(jié)
以上是生活随笔為你收集整理的ssh登录日志,ssh登录记录,最近ssh登录的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: SpringMVC上传文件遇到的问题
- 下一篇: 【7集iCore3基础视频】7-2 iC