linux日志分析与痕迹清理

linux日志路径
auth.log/secure 用户登录日志以及其权限
btmp/wtmp 登录失败记录/用户登录记录
lastlog/faillog 最后一次登录记录/登录失败记录

/var/log/messages — 包括整体系统信息，其中也包含系统启动期间的日志。此外，mail，cron，daemon，kern和auth等内容也记录在var/log/messages日志中。

/var/log/dmesg — 包含内核缓冲信息（kernel ring buffer）。在系统启动时，会在屏幕上显示许多与硬件有关的信息。可以用dmesg查看它们。

/var/log/auth.log — 包含系统授权信息，包括用户登录和使用的权限机制等。

/var/log/boot.log — 包含系统启动时的日志。

/var/log/daemon.log — 包含各种系统后台守护进程日志信息。

/var/log/dpkg.log – 包括安装或dpkg命令清除软件包的日志。

/var/log/kern.log – 包含内核产生的日志，有助于在定制内核时解决问题。

/var/log/lastlog — 记录所有用户的最近信息。这不是一个ASCII文件，因此需要用lastlog命令查看内容。

/var/log/maillog /var/log/mail.log — 包含来着系统运行电子邮件服务器的日志信息。例如，sendmail日志信息就全部送到这个文件中。

/var/log/user.log — 记录所有等级用户信息的日志。

/var/log/Xorg.x.log — 来自X的日志信息。

/var/log/alternatives.log – 更新替代信息都记录在这个文件中。

/var/log/btmp – 记录所有失败登录信息。使用last命令可以查看btmp文件。例如，”last -f /var/log/btmp | more“。

/var/log/cups — 涉及所有打印信息的日志。

/var/log/anaconda.log — 在安装Linux时，所有安装信息都储存在这个文件中。

/var/log/yum.log — 包含使用yum安装的软件包信息。

/var/log/cron — 每当cron进程开始一个工作时，就会将相关信息记录在这个文件中。

/var/log/secure — 包含验证和授权方面信息。例如，sshd会将所有信息记录（其中包括失败登录）在这里。

/var/log/wtmp或/var/log/utmp — 包含登录信息。使用wtmp可以找出谁正在登陆进入系统，谁使用命令显示这个文件或信息等。

/var/log/faillog – 包含用户登录失败信息。此外，错误登录命令也会记录在本文件中。

除了上述Log文件以外， /var/log还基于系统的具体应用包含以下一些子目录：

/var/log/httpd/或/var/log/apache2 — 包含服务器access_log和error_log信息。

/var/log/lighttpd/ — 包含light HTTPD的access_log和error_log。

/var/log/mail/ – 这个子目录包含邮件服务器的额外日志。

/var/log/prelink/ — 包含.so文件被prelink修改的信息。

/var/log/audit/ — 包含被 Linux audit daemon储存的信息。

/var/log/samba/ – 包含由samba存储的信息。

/var/log/sa/ — 包含每日由sysstat软件包收集的sar文件。

/var/log/sssd/ – 用于守护进程安全服务。

除了手动存档和清除这些日志文件以外，还可以使用logrotate在文件达到一定大小后自动删除。可以尝试用vi，tail，grep和less等命令查看这些日志文件。

Windows日志清理
wevtutil cl sys
wevtutil cl application
wevtutil cl security

windows日志路径
eventvwr#打开日志页面
在这里插入图片描述

C:\Windows\System32\winevt\Logs\System.evtx
C:\Windows\System32\winevt\Logs\security.evtx
C:\Windows\System32\winevt\Logs\application.evtx
wmic nteventlog get path,filename, writeable #得到日志文件的位置
在这里插入图片描述

其他
awk -F: ‘$3==0{print $1}’ /etc/passwd #查看文件中是否有其他特权用户（uid = 0）
#以 ':'为分隔符读取/etc/passwd的数据，当第三个部分等于0的时候，输出第一个部分。

awk ‘/$1|$6/{print $1}’ /etc/shadow #可远程登录的用户信息

grep “Failed password” /var/log/secure|perl -e ‘while($_=<>){ /for(.*?) from/; print “$1\n”;}’|uniq -c|sort -nr #定位爆破用户名

grep “Failed password” /var/log/secure|grep -E -o “(25[0-5]|2[0-4][0-9]| [01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0- 9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)”|uniq -c | sort -nr #定位爆破ip

grep -o “Failed password” /var/log/secure|uniq -c #登录失败的次数

grep "Accepted " /var/log/secure | awk ‘{print $11}’ | sort | uniq -c | sort -nr | more #统计登陆成功的ip

linux日志分析与痕迹清理相关推荐

Windows/Linux日志分析
Windows日志分析 Windows系统日志是记录系统中硬件.软件和系统问题的信息,同时还可以监视系统中发生的事件.用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹. Wind ...
日志分析篇---Linux日志分析
日志分析篇-Linux日志分析文章目录日志分析篇---Linux日志分析前言一.日志简介二.日志分析技巧 1.常用的shell命令 2.日志分析技巧三.我的公众号前言 Linux系统拥有 ...
《Unix/Linux日志分析与流量监控》书稿完成
<Unix/Linux日志分析与流量监控>书稿完成近日,历时3年创作的75万字书稿已完成,本书紧紧围绕网络安全的主题,对各种Unix/Linux系统及网络服务日志进行了全面系统的讲解,从 ...
Linux日志分析工具之AWStats
Linux日志分析工具之AWStats
【日志分析】Linux日志分析
0x00 前言 Linux系统拥有非常灵活和强大的日志功能,可以保存几乎所有的操作记录,并可以从中检索出我们需要的信息. 本文简介一下Linux系统日志及日志分析技巧. 0x01 日志简介日志默认存 ...
awstats linux日志分析,Linux环境下安装部署AWStats日志分析系统实例
AWStats是使用Perl语言开发的一款开放性日志分析系统,可分析Apache网站服务器的访问日志,还可以用来分析Samba.Vsftpd.IIS等日志信息. 此文章主要讲解如何在linux系统下安 ...
linux应用日志类型,linux日志分析
linux的日志文件可以说是最有用的了,日志文件可以让我们了解系统所处的状态,比如能查出哪些用户有登入,这也涉及相关的安全问题. 日志分析 1.了解日志文件 linux的日志文件可以说是最有用的了,日 ...
awstats linux日志分析,日志分析：用AWStats分析Nginx的访问日志,它可以统计您站点的如...
日志分析:用AWStats分析Nginx的访问日志,它可以统计您站点的如 Awstats是一个免费非常简洁而且强大有个性的统计工具.它可以统计您站点的如下信息: 一:访问量,访问次数,页面浏览量,点击 ...
Linux日志分析与安全
日志为什么重要? 用于记录系统.程序运行时发生的各种事件通过阅读日志,可以有效诊断和解决系统故障日志是审计的基础日志文件的分类内核及系统日志由系统服务rsyslogd统一进行管理,日志格式基 ...

linux日志分析与痕迹清理

linux日志分析与痕迹清理相关推荐

最新文章

热门文章