我一直无法找到一个合适的答案。
Centos 5.10 服务器,尝试搜索所有日志以查看哪些 IP 成功访问了该服务器。我一直在研究/var/log/secure和/var/log/audit/audit.log。
我发现的最有趣的事情是/root/.bash_history,通过 grep 查找特定 IP 的一些可疑目录和文件,但我想确切地确定哪些 IP 通过 ssh 访问了服务器。
长话短说:
是否/var/log/secure记录 ssh 成功,或者 centos 系统上是否有其他文件可以记录 ssh 成功?
答案1
您正在寻找“已接受”的 grep,而不是“成功-”中的内容
grep Accepted /var/log/secure
答案2
由于日志记录是可配置的,因此您需要检查系统日志配置以准确找出记录的内容。
答案3
/var/log/auth.log记录成功和失败的连接尝试。你应该检查那个文件。