Linux日志分析与中间件分析:一篇实用的应急响应教程[四]
内容提要
本文介绍了Linux日志分析的应急响应技巧,包括日志存储位置、排查方法和命令使用,重点在于筛选登录失败的IP、统计次数及查看用户命令历史,强调安全防护的重要性和合法性。
关键要点
-
护网将常态化,学习应急响应必不可少。
-
Linux日志存储位置因版本不同而异,Ubuntu/Debian使用/var/log/auth.log,RedHat/CentOS使用/var/log/secure.log。
-
日志排查方法包括解压、筛选登录失败的IP和统计次数。
-
使用awk和uniq命令可以优雅地统计登录失败的IP次数。
-
grep命令可以用于多种条件筛选,包括不区分大小写和显示行号。
-
通过sudo命令可以查看用户执行的命令记录。
-
apt-get命令记录下载日志,last -f用于查看登录失败日志。
-
中间件日志排查需要找到相关进程,使用ps -ef命令。
-
攻击者扫描特征为高并发,通过时间定位攻击开始时间。
-
总结应急响应步骤:确定操作系统、排查文件位置、构造筛查语句。
-
文章内容仅供教育和研究目的,强调合法性和安全防护的重要性。
延伸问答
Linux日志存储位置有哪些差异?
Ubuntu/Debian使用/var/log/auth.log,RedHat/CentOS使用/var/log/secure.log。
如何筛选登录失败的IP地址?
可以使用命令:cat auth.log* | grep 'Failed' | awk -F ' ' '{print $11}' | sort | uniq -c。
使用grep命令时如何不区分大小写?
可以使用grep -i选项,例如:cat auth.log* | grep -i 'failed'。
如何查看用户通过sudo执行的命令记录?
可以使用命令:sudo grep 'COMMAND' /var/log/auth.log。
中间件日志排查的基本步骤是什么?
首先使用ps -ef命令找到相关进程,然后根据配置文件确定日志文件位置进行排查。
如何统计登录失败的次数?
可以使用命令:cat auth.log* | grep 'Failed' | awk -F ' ' '{print $3}' | sort | uniq -c。
