最新公告
  • 欢迎您光临欧资源网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 0x00前言Linux系统及日志分析技巧(一)

    0x00 前言

    Linux系统有一个非常灵活和强大的日志功能linux看输出日志行数linux看输出日志行数,可以保存几乎所有的操作记录,并从中检索我们需要的信息。本文介绍Linux系统日志和日志分析技巧。

    0x01 日志介绍

    默认日志存储位置:/var/log/

    查看日志配置:more /etc/rsyslog.conf

    几个重要的日志: 登录失败记录:/var/log/btmp //lastb 最后登录:/var/log/lastlog //lastlog 登录成功记录:/var/log/wtmp //最后登录日志记录:/var/log /安全的

    当前登录用户信息:/var/run/utmp //w, who, users

    历史命令记录:history 只清理当前用户:history -c

    0x02 日志分析技巧一、常用shell命令

    Linux下常见的shell命令如:find、grep、egrep、awk、sed

    尖端:

    1、grep 显示前后几行信息:

    ​	标准unix/linux下的grep通过下面參数控制上下文:
    ​	grep -C 5 foo file 显示file文件里匹配foo字串那行以及上下5行
    ​	grep -B 5 foo file 显示foo及前5行
    ​	grep -A 5 foo file 显示foo及后5行
    ​	查看grep版本号的方法是
    ​	grep -V

    2、grep 查找包含字符串的所有文件

    log4j类输出日志语句_tomcat 输出日志级别设置_linux看输出日志行数

    grep -rn "hello,world!" 
    	* : 表示当前目录所有文件,也可以是某个文件名
    	-r 是递归查找
    	-n 是显示行号
    	-R 查找所有文件包含子目录
    	-i 忽略大小写

    3、如何显示文件的某些行:

    	cat input_file | tail -n +1000 | head -n 2000
    	#从第1000行开始,显示2000行。即显示1000~2999行

    4、find /etc -name init

    //在目录/etc中查找文件init

    5、只在 /etc/passwd 中显示账户

    `cat /etc/passwd |awk  -F ':'  '{print $1}'`  
    //awk -F指定域分隔符为':',将记录按指定的域分隔符划分域,填充域,​$0则表示所有域,$1表示第一个域,​$n表示第n个域。

    6、sed -i ‘153,$d’.bash_history

    删除历史操作记录,只保留前153行

    B、日志分析技巧

    A. /var/log/secure

    1、定位有多少IP在爆破主机的root帐号:    
    grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
    定位有哪些IP在爆破:
    grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c
    爆破用户名字典是什么?
     grep "Failed password" /var/log/secure|perl -e 'while($_=){ /for(.*?) from/; print "$1n";}'|uniq -c|sort -nr
     
    2、登录成功的IP有哪些: 	
    grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
    登录成功的日期、用户名、IP:
    grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}' 
    3、增加一个用户kali日志:
    Jul 10 00:12:15 localhost useradd[2382]: new group: name=kali, GID=1001
    Jul 10 00:12:15 localhost useradd[2382]: new user: name=kali, UID=1001, GID=1001, home=/home/kali
    , shell=/bin/bash
    Jul 10 00:12:58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali
    #grep "useradd" /var/log/secure 
    4、删除用户kali日志:
    Jul 10 00:14:17 localhost userdel[2393]: delete user 'kali'
    Jul 10 00:14:17 localhost userdel[2393]: removed group 'kali' owned by 'kali'
    Jul 10 00:14:17 localhost userdel[2393]: removed shadow group 'kali' owned by 'kali'
    # grep "userdel" /var/log/secure
    5、su切换用户:
    Jul 10 00:38:13 localhost su: pam_unix(su-l:session): session opened for user good by root(uid=0)
    sudo授权执行:
    sudo -l
    Jul 10 00:43:09 localhost sudo:    good : TTY=pts/4 ; PWD=/home/good ; USER=root ; COMMAND=/sbin/shutdown -r now

    2、/var/log/yum.log

    软件安装升级卸载日志:

    yum install gcc
    [root@bogon ~]# more /var/log/yum.log
    Jul 10 00:18:23 Updated: cpp-4.8.5-28.el7_5.1.x86_64
    Jul 10 00:18:24 Updated: libgcc-4.8.5-28.el7_5.1.x86_64
    Jul 10 00:18:24 Updated: libgomp-4.8.5-28.el7_5.1.x86_64
    Jul 10 00:18:28 Updated: gcc-4.8.5-28.el7_5.1.x86_64
    Jul 10 00:18:28 Updated: libgcc-4.8.5-28.el7_5.1.i686

    站内大部分资源收集于网络,若侵犯了您的合法权益,请联系我们删除!
    欧资源网 » 0x00前言Linux系统及日志分析技巧(一)

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    欧资源网
    一个高级程序员模板开发平台

    发表评论