如何简化 /var/log/auth.log 中包含的信息

如何简化 /var/log/auth.log 中包含的信息

我的 /var/log/auth.log 包含很多行,例如

"reverse mapping checking getaddrinfo for 
 224.51.174.61.dial.wz.zj.dynamic.163data.com.cn [61.174.51.224] failed - 
 POSSIBLE BREAK-IN ATTEMPT!" 
"Failed password for root from 61.174.51.224 port 4227 ssh2"

"reverse mapping checking getaddrinfo for 
 187-101-166-232.dsl.telesp.net.br [187.101.166.232] failed - 
 POSSIBLE BREAK-IN ATTEMPT!"
"Invalid user Admin from 187.101.166.232"

这些我可以看出黑客未能攻破。

但不幸的是我还看到一些日志,例如

Successful su for xxxxxx (my username) by root

我的愚蠢问题是:

  • 从 auth.log 中,我如何知道“成功的 su”是我执行的,而不是可能获取了我的登录信息的黑客执行的?
  • 如何过滤 auth.log 文件,以便简明扼要地报告哪个用户成功登录、登录了多长时间以及从哪里登录? IP 地址确实在 auth.log 文件中,但很难看出他们是否真的成功入侵。
  • 是否有日志文件可以检查黑客做了什么?

谢谢您的启发。

答案1

1)从 auth.log 中,我如何知道“成功的 su”是我执行的,而不是可能获取了我的登录信息的黑客执行的?

这会破坏日志文件的意义。你的系统如何知道成功执行 su 的是黑客?

2)如何过滤 auth.log 文件,以便简洁地报告哪个用户成功登录、登录了多长时间以及从哪里登录?

这就是该程序的用途。它解析包含此信息的last文件/var/log/wmtp和。请参阅:/var/log/utmp

user@host:~$ last
root     pts/0        1.2.3.4      Fri Apr  4 07:59   still logged in
root     pts/5        1.2.3.4      Wed Apr  2 15:58 - 17:00  (01:02)
root     pts/0        1.2.3.4      Wed Apr  2 07:39 - 16:15  (08:36)
root     pts/0        1.2.3.4      Tue Apr  1 07:39 - 16:00  (08:20)

此外,您还可以使用以下选项解析较旧的wtmp文件:。utmp-flast -f /var/log/wtmp.1

3)是否有日志文件可以检查黑客做了什么?

参见问题 1)。当黑客获得对您系统的访问权限时,这表示身份验证成功。因此系统不知道这是黑客。您所能做的就是搜索/var/log/*痕迹。

答案2

您可以使用以下命令简单地分析文件 auth.log:

 cat  /var/log/auth.log | grep "Successful"

查看成功的尝试

上述命令输出 /var/log/auth.log 中包含单词 Successful 的所有行,或者您可以更改表达式,即“Failed password”,以查看失败的登录尝试。

所以现在,您可以检查成功的登录并查看任何不是您的 IP。

相关内容