linux日誌朔源分析記錄
阿新 • • 發佈:2020-07-19
lastlog
記錄使用者最後一次登入情況
只有root最近登入過
lastlog -u 使用者名稱或者uid
uid 直接在passwd檔案中的低三位可以看到
lastb
記錄使用者使用者登入失敗的使用者記錄,包括使用者名稱ip。檔案位於/var/log/btmp
lastb |sort -n | uniq -c | sort -n -r | head -6
這個可以直接按照次數排列出來,統計爆破ssh的ip次數前六位
如果想直接統計ip的話,下面倆個命令都可以
lastb |awk '{ print $3}'|sort -n | uniq -c | sort -n -r | head -6 lastb |awk -F " " '{ print $3}'|sort -n | uniq -c | sort -n -r | head -6 -F表示用什麼分割
統計爆破使用者名稱
lastb |awk '{ print $1}'|sort -n | uniq -c | sort -n -r |awk '{ print $2}'
last
記錄登入使用者的資訊,儲存在/var/log/wtmp檔案中
查詢所有登入使用者名稱出現的次數
last|awk '{print $1}'|sort -n|uniq -c|sort -n -r
統計使用者登入的ip次數
last|awk '{print $3}'|sort -n | uniq -c | sort -n -r
awk和真好用哈哈
登入日誌看完了 看一下apache日誌。任務計劃和其他暫時先不看
access log 分析
查詢某個檔案多少行
echo $(sed -n '$=' access_log-20200705 )
顯示前200行
head access_log-20200705 -n 200
我們以其中一條帶masscan特徵的請求進行分析
209.97.190.223 - - [28/Jun/2020:08:06:40 +0800] "GET / HTTP/1.0" 403 4897 "-" "masscan/1.0 (https://github.com/robertdavidgraham/masscan)"
查一下 帶有masscan且響應狀態碼為403的。
cat access_log-20200705|grep "HTTP/1.0\" 403.*masscan" -i
-i表示不分大小寫
按照上面的可以直接寫出統計掃描ip的命令
cat access_log-20200705|grep "HTTP/1.0\" 403.*masscan" -i|awk '{print $1}'
加上次數
cat access_log-20200705|grep "HTTP/1.0\" 403.*masscan" -i|awk '{print $1}'|sort -n | uniq -c | sort -n -r
grep 是個好東西