如何读取 AWS ec2 实例日志中的 auth.logs?

如何读取 AWS ec2 实例日志中的 auth.logs?

我们正在查看这个文件 /var/logs/auth.logs 并显示以下内容:

在此处输入图片描述

(问题 1:)这是一次可能的黑客攻击吗?

使用本网站https://www.abuseipdb.com/check/59.173.173.107我可以追踪 IP 地址的来源。

我还最后运行了这个命令并显示如下内容: 在此处输入图片描述

(问题2:)last和 auth.logs有什么区别?

(问题 3:)CRON[17637]和是什么sshd[17686]
(问题 4:)这句话什么意思Received disconnect from 59.173.173.107: 11: Normal Shutdown, Thank you for playing [preauth]
(问题 5:)这是正常的吗?每个人都会有这种情况吗?

答案1

它与 Linux/Unix 和 CRON/SSHD 守护进程的关系比与 E2C 本身的关系更密切。这不是一个安全问题。

但要回答... CRON 是一个守护进程 - 任务调度程序 - 在特定事件(即每天一次)上启动任务。日志中的记录表明 CRON 以 root 权限启动了一个会话来运行一些计划任务,然后结束了该会话。

是的,这是正常的。

SSHD 是用于远程连接和管理服务器的控制台。来自中国的某个人试图连接 SSH 控制台并进行身份验证(未成功)。正常关闭意味着远程客户端发送了 TCP FIN 数据包,因此 TCP 连接已正确关闭(服务器无需等待超时)。 正常关闭意味着客户端已发送请求以关闭 ssh 连接,并附带指定关闭原因的消息。感谢您参与只是 ssh 客户端中硬编码的常见消息。另请参阅https://serverfault.com/a/563303了解详情。

是的,有人尝试连接您的服务器并登录是正常的。使用防火墙将管理界面的访问限制为仅授权的 IP 地址是一种很好的做法。

关于最后,输入“man last”来获得答案。

另外,下次提问之前,请先自己做一些调查。例如

https://www.digitalocean.com/community/tutorials/how-to-monitor-system-authentication-logs-on-ubuntu

相关内容