⑴ linux裡面如何查看系統用戶登錄日誌
一、查看日誌文件
Linux查看/var/log/wtmp文件查看可疑IP登陸
last -f /var/log/wtmp
該日誌文件永久記錄每個用戶登錄、注銷及系統的啟動、停機的事件。因此隨著系統正常運行時間的增加,該文件的大小也會越來越大,
增加的速度取決於系統用戶登錄的次數。該日誌文件可以用來查看用戶的登錄記錄,
last命令就通過訪問這個文件獲得這些信息,並以反序從後向前顯示用戶的登錄記錄,last也能根據用戶、終端tty或時間顯示相應的記錄。
查看/var/log/secure文件尋找可疑IP登陸次數
二、 腳本生成所有登錄用戶的操作歷史
在linux系統的環境下,不管是root用戶還是其它的用戶只有登陸系統後用進入操作我們都可以通過命令history來查看歷史記錄,可是假如一台伺服器多人登陸,一天因為某人誤操作了刪除了重要的數據。這時候通過查看歷史記錄(命令:history)是沒有什麼意義了(因為history只針對登錄用戶下執行有效,即使root用戶也無法得到其它用戶histotry歷史)。那有沒有什麼辦法實現通過記錄登陸後的IP地址和某用戶名所操作的歷史記錄呢?答案:有的。
通過在/etc/profile裡面加入以下代碼就可以實現:
PS1="`whoami`@`hostname`:"'[$PWD]'
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
if [ ! -d /tmp/dbasky ]
then
mkdir /tmp/dbasky
chmod 777 /tmp/dbasky
fi
if [ ! -d /tmp/dbasky/${LOGNAME} ]
then
mkdir /tmp/dbasky/${LOGNAME}
chmod 300 /tmp/dbasky/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date "+%Y-%m-%d_%H:%M:%S"`
export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP}-dbasky.$DT"
chmod 600 /tmp/dbasky/${LOGNAME}/*dbasky* 2>/dev/null
source /etc/profile 使用腳本生效
退出用戶,重新登錄
?面腳本在系統的/tmp新建個dbasky目錄,記錄所有登陸過系統的用戶和IP地址(文件名),每當用戶登錄/退出會創建相應的文件,該文件保存這段用戶登錄時期內操作歷史,可以用這個方法來監測系統的安全性。
root@zsc6:[/tmp/dbasky/root]ls
10.1.80.47 dbasky.2013-10-24_12:53:08
root@zsc6:[/tmp/dbasky/root]cat 10.1.80.47 dbasky.2013-10-24_12:53:08
⑵ log文件指什麼Linux日誌文件有哪些
在Linux操作系統中,log文件代表著日誌文件,就是記錄系統活動信息的文件,比如:某時、某IP、某時間、進行的某種操作等。此外,在Linux系統中,我們還可以通過tail、cat、tac、head等命令來查看日誌,那麼Linux系統中log文件是什麼意思?本文為大家詳細解答一下。
Linux系統中log文件是什麼意思?
在Linux中,log文件是指日誌文件,是重要的系統信息文件,其中記錄了許多重要的系統事件,包括用戶的登錄信息、系統的啟動信息、系統的安全信息、郵件相關信息、各種服務相關信息等。這些信息有些非常敏感,所以在Linux中這些日誌文件只有root用戶可以讀取。
log文件存放在/var/log/目錄下,該目錄是系統日誌文件的保存位置;除此之外,採用RPM包方式安裝的系統服務也會默認把日誌記錄在/var/log/目錄中。
Linux日誌文件說明
①/var/log/messages:該文件記錄著伺服器系統發生的所有錯誤信息或重要的信息,所以這個文件相當重要,如果系統發生莫名的錯誤時,這個文件是必查的日誌文件之一。
②/var/log/secure:該文件記錄伺服器牽扯到需要輸入賬號密碼的軟體,當登入時都會被記錄到這個文件中,包括系統的login程序、圖形界面登入所使用的gdm程序、su、sudo等程序,還有網路遠程的ssh、telnet等程序,登入信息都會被記載。
③/var/log/maillog:該文件記錄伺服器郵件的來往信息,其實主要記錄SMTP和POP3協議提供者所產生的信息。
④/var/log/cron:與定時任務相關的日誌信息。
⑤/var/log/spooler:與UUCP和news設備相關的日誌信息。
⑥/var/log/boot.log:守護進程啟動和停止相關的日誌信息。
⑦/var/log/wtmp:該日誌文件永久記錄每個用戶登錄、注銷及系統的啟動、停機的事件。
⑶ Linux系統日誌分為哪幾種類型
在Linux系統中,擁有非常靈活和強大的日誌功能,它幾乎可以保存所有的操作記錄,還可以檢索出我們需要的信息;不僅如此,Linux系統日誌還可以幫助我們解決各種各樣的問題。那麼Linux系統日誌分為哪幾種類型?
Linux系統日誌的三種類型
第一種:內核及系統日誌
這種日誌數據由系統服務rsyslog統一管理,根據其主配置文件/etc/rsyslog.conf中的設置決定將內核消息及各種系統程序消息記錄到什麼位置。系統中有相當一部分程序會把日誌文件交由rsyslog管理,因而這些程序使用的日誌記錄也具有相似的格式。
第二種:用戶日誌
這種日誌數據用於記錄Linux操作系統用戶登錄以及退出系統的相關信息,包括用戶名、登錄的終端、登錄時間、來源主機、正在使用的進程操作等。
第三種:程序日誌
有些應用程序會選擇由自己獨立管理一份日誌文件,用於記錄本程序運行過程中的各種事件信息,而不是交給rsyslog服務管理。由於這些程序只負責管理自己的日誌文件,因此不同程序所使用的日誌記錄格式可能會存在較大的差異。
⑷ linux系統日誌格式
1、系統常用的日誌(日誌是用來記錄重大事件的工具)
/var/log/message 系統信息日誌,包含錯誤信息等
/var/log/secure 系統登錄日誌
/var/log/cron 定時任務日誌
/var/log/maillog 郵件日誌
/var/log/boot.log 系統啟動日誌
2、日誌管理服務 rsyslog 《Linux就該這么學》
【1】作用:主要用來採集日誌,不產生日誌
【2】配置文件:/etc/rsyslog.conf
編輯文件時的格式為: ------ *.* 存放日誌文件 ------
其中第一個*代表日誌類型,第二個*代表日誌級別
⑸ 4-9 Linux 中的日誌分析
日誌:系統、軟體 和 用戶操作交互信息的記錄文件。用於系統審核,日常故障快速定位和排錯。
日誌文件保存在 /var/log 和 /var/run 目錄下。在 RedHat 7 中,系統日誌消息由兩個服務負責處理,它們是 systemd-journald 和 rsyslogd。
日誌的保存時間系統默認是4周,可以通過 cat /etc/logrotate.conf 裡面的一項參數查到。rotate 可以修改。
主要日誌文件介紹:
/var/log/messages:系統日誌,主要記錄內核和公共消息。
/var/log/cron:計劃執行任務日誌。
/var/log/dmesg:系統引導日誌。
/var/log/maillog:郵件日誌。
/var/log/lastlog:用戶登錄日誌。(用 lastlog 命令)
/var/log/boot.log:系統啟動日誌。
/var/log/secure:安全和身份驗證日誌 。
/var/log/wtmp:記錄所有用戶登錄的詳細信息。(用 last 命令)
/var/log/btmp:記錄失敗的登錄記錄(用 lastb 命令)
/var/run/utmp:用戶登錄、注銷及系統開、關等事件。(用 w / who 命令)
(wtmp、btmp 和 utmp 是二進制文件,不能用cat、vi、tail、more這些命令打開查看)
1、/var/log/messages:系統日誌,主要記錄內核和公共消息。
1)、messages 信息項包括:事件發生的日期和時間、主機,終端名、進程 和 事件日誌。
2)、紅色下劃線:systemctl restart sshd 重啟 sshd 服務。
黃色下劃線:tail /var/log/messages 查看 messages 日誌。
藍色方框:messages 日誌已經可以查到重啟 sshd 服務的記錄。
綠色下劃線:每個動作都記錄得很清楚。暫停中(Stopping)、已暫停(Stopped)、啟動中(Starting) 和 已啟動(Started)
2、/var/log/cron:計劃執行任務日誌。
1)、cron 信息項包括:事件發生的日期和時間、主機,終端名、進程 和 事件日誌。
2)、cron 保存的是計劃任務的日誌,我們也可以通過特定輸出查看計劃進程的一些規律。從中也可以梳理一下計劃任務的概念。好像 run-parts(/etc/cron.hourly) 進程,基本都是從開機開始,整點 1 個小時就執行一次。一次由兩個事件為一組,一條 starting 0anacron ,另一條 finished 0anacron。
輸入 grep run-parts'('/etc/cron.hourly')' 的時候,()括弧需要用單引號引起來。
CROND進程,基本上也是從開機開始,整點 1 個小時就執行一次。
run-parts(/etc/cron.daily) 進程每天開機執行一次。一次由四個事件為一組,四個事件裡面有兩個事件是對應關系。starting man-db.cron 對應 finished man-db.cron,starting logrotate 對應 finished logrotate。
從 cron 日誌知道系統的計劃任務什麼時候觸發,執行了什麼事件,產生了什麼信息。
3、/var/log/dmesg:系統引導日誌,顯示硬體相關的信息。
head -20 dmesg | nl 列出開頭 20 行信息。
4、/var/log/maillog:郵件日誌。
紅色下劃線:tail maillog 查看 maillog 後 10 行信息。
黃色下劃線:starting the Postfix mail system 啟動 Postfix 郵件系統。daemon started 守護進程啟動完成。
maillog 記錄的信息都是和郵件有關。
5、/var/log/lastlog:記錄所有用戶登錄最後一次登錄本系統的時間信息。用 lastlog 讀取信息。lastlog 的幾列內容:Username(用戶名)、Port(埠)、From(登錄IP)、Latest(最後登錄時間)。
系統用戶是調用系統當中一些特殊服務的用戶,不能登錄系統(所以它們的登錄狀態都是顯示「**Never logged in**」從來沒有登錄)。能夠登錄系統的只有 root 和 新建的普通用戶。
6、/var/log/boot.log:系統啟動日誌。
head /var/log/boot.log 列出頭 10 條系統啟動的信息(內容較長,裡面記錄了多次啟動的信息)。
通過 3 次的重啟,查看 boot.log 大小。每重啟一次文件的容量就會增大。也證明了每次啟動都會往 boot.log 這個文件寫信息。
7、/var/log/secure:安全和身份驗證日誌 。
tail secure 列出 secure 文件最後 10 行信息。通過 secure 的信息可以發現記錄的是安全相關的信息,記錄最多的是哪些用戶登錄伺服器的相關日誌。
黃色下劃線:Failed password for root —— root 的密碼錯誤。
紅色下劃線:Accepted password for root —— 密碼正確,root 用戶接受的密碼。
綠色下劃線:pam_unix(sshd:session): session opened for user root —— 為 root 用戶建立會話。
8、/var/log/wtmp:記錄所有用戶登錄的詳細信息。一個二進制文件,不能用cat、vi、tail、more這些命令打開查看。用 last 命令查看。last 作用是顯示近期用戶或終端登錄的情況(包括:登錄、注銷及系統的啟動、停機的事件。因此隨著系統正常運行時間的增加,該文件的大小也會越來越大,)
last -n 10 —— -n 跟一個數字,指定顯示最近登錄的數據。(或者 last -10 一樣效果)
顯示的內容有六列:
第一列:用戶名。
第二列:終端位置。(pts/0 偽終端,SSH 或 telnet 等工具遠程連接的用戶,tty0 直接連接到計算機或本地連接的用戶,後面的數字代表連接編號)。
第三列:登錄 IP 或 內核。(如果是 0.0 或者 什麼都沒有,意味著用戶通過本地終端連接,除了啟動活動,內核版本會顯示在狀態中)。
第四列:開始時間。
第五列:結束時間。(still、login in 尚未推出,down 直到正常關機,crash 直到強制關機)。
第六列:持續時間。
9、/var/log/btmp:記錄失敗的登錄記錄,主要查看錯誤的登錄信息。一個二進制文件,不能用cat、vi、tail、more這些命令打開查看。用 lastb 命令查看。
lastb -n 10 —— -n 跟一個數字,指定顯示最近登錄的數據。(或者 lastb -10 一樣效果)
顯示的內容有六列:
第一列:用戶名。
第二列:終端位置。(連接失敗:notty)。
第三列:登錄 IP。
第四列:開始時間。
第五列:結束時間。
第六列:持續時間。
10、/var/run/utmp:用戶登錄、注銷及系統開、關等事件。一個二進制文件,不能用cat、vi、tail、more這些命令打開查看。用 w / who 命令查看。
w 命令:查看登錄者的信息及行為。
第一行:系統當前時間、系統沒有中斷持續性的運行時間、當前登錄用戶數、CPU在之前 1 分鍾、5分鍾、15分鍾的平均負載。
USER: 登錄用戶名。
TTY:登錄後系統分配的終端號。(tty:物理機本機終端、pts:遠程終端)
FROM:遠程主機名 IP。(tty 物理機本機不顯示、pts 遠程終端會顯示 IP)
LOGIN@ :登錄時間。
IDLE:用戶閑置時間 。這是個計時器,用戶執行任何操作,計時器就會被重置。(這里顯示的時間是距離上次命令操作後多久沒有進行操作的閑置時間)
JCPU:執行命令進程所消耗的總時間。 終端連接的所有進程佔用時間,包括當前正在運行作業佔用的時間。
PCPU:當前進程所消耗 CPU 的時間。
WHAT:用戶正在運行的進程 或 命令。(-bash 進程是終端進程)
who 命令:顯示關於當前在本地系統上的所有用戶信息。who 和 w 差不多,who 顯示的內容更為簡潔。who 命令顯示以下內容:登錄名、tty、登錄日期 和 時間。如果用戶是從遠程終端登錄的,那麼該終端的 IP 也會顯示出來。
11、whoami:顯示自己的登錄用戶。
⑹ 怎麼查linux系統上的操作日誌
linux日誌文件說明
/var/log/message 系統啟動後的信息和錯誤日誌,是Red Hat Linux中最常用的日誌之一
/var/log/secure 與安全相關的日誌信息
/var/log/maillog 與郵件相關的日誌信息
/var/log/cron 與定時任務相關的日誌信息
/var/log/spooler 與UUCP和news設備相關的日誌信息
/var/log/boot.log 守護進程啟動和停止相關的日誌消息
/var/log/wtmp 該日誌文件永久記錄每個用戶登錄、注銷及系統的啟動、停機的事件
⑺ 在linux中,日誌功能出現的原因是
inux日誌配置含義,Linux操作系統中的日誌功能詳解。
Linux操作系統中的日誌功能詳解。
日誌系統將我們系統運行的每一個狀況信息都使用文字記錄下來,這些信息有助我們觀察系統運行過程中正常狀態和系統運行錯誤時快速定位錯誤位置的途徑等;下面學習啦小編主要概述一下LINUX操作系統中的日誌功能。
Linux系統內核和許多程序會產生各種錯誤信息、警告信息和其他的提示信息,這些信息對管理員了解系統的運行狀態是非常有用的,所以應該把它們寫到日誌文件中去。
⑻ Linux系統上記錄MYSQL操作的審計日誌
根據筆者上一篇文章—Linux系統上記錄用戶操作的審計日誌 。本文來利用相同的方法記錄MYSQL操作的審計日誌。
使用用mysql工具連接MySQL server的所有操作會默認記錄到~/.mysql_history文件中,這個文件會把所有操作記錄下來,包括創建用戶和修改用戶的明文密碼,這在生產系統上是不安全的。如果不想保存,僅僅刪除是不行的(文件不存在會再建立),要直接將其軟連接到垃圾箱。
ln -s /dev/null ~/.mysql_history
利用上一篇文章相同的方法記錄MYSQL操作的審計日誌,是因為mysql工具本身就是有一個shell, 每次mysql連接退出後,都會把此次操作的信息記錄到~/.mysql_history文件中。那麼可以重新定義MYSQL_HISTFILE環境變數來保存mysql日誌。
先看置於/etc/profile.d目錄下的環境變數的腳本mysql_history.sh,和loginlog類似。
在測試時,發現平時使用的普通用戶在操作mysql後無法記錄,而root用戶(平時沒有操作過mysql)可以記錄成功。後來在在~/.mysql_history文件找到了操作記錄,估計是這個文件還存在的原因,刪除後才記錄到新的MYSQL_HISTFILE定義的路徑。
和loginlog一樣,需要定期刪除過期日誌,以下腳本置於/etc/cron.weekly 目錄下。
delete_time=15
find /opt/mysqllog/ -mtime +$delete_time -name '*.log' -exec rm -r {} \;
但是相比於loginlog,mysqllog有兩點暫時沒有解決。
1、定義最大的記錄條數history.maxSize不知在哪定義,my.cnf?
2、每一條命令的時間記錄添加。