ubuntu日志文件

1、/var/log/auth.log 包含系统授权信息，包括用户登录和使用的权限机制等。

2、/var/log/boot.log — 包含系统启动时的日志。

3、/var/log/daemon.log — 包含各种系统后台守护进程日志信息。

4、/var/log/lastlog — 记录所有用户的最近信息。这不是一个ASCII文件，因此需要用lastlog命令查看内容。

5、/var/log/user.log — 记录所有等级用户信息的日志。

6、/var/log/btmp – 记录所有失败登录信息。使用last命令可以查看btmp文件。例如，”last -f /var/log/btmp | more“。

7、/var/log/cron — 每当cron进程开始一个工作时，就会将相关信息记录在这个文件中。

8、/var/log/secure — 包含验证和授权方面信息。例如，sshd会将所有信息记录（其中包括失败登录）在这里。

9、/var/log/wtmp或/var/log/utmp — 包含登录信息。使用wtmp可以找出谁正在登陆进入系统，谁使用命令显示这个文件或信息等。

10、/var/log/faillog – 包含用户登录失败信息。此外，错误登录命令也会记录在本文件中。

1、查找关键日志grep（过滤器）

规则：grep [选项]...模式 [文件]...（模式是正则表达式）

2、精简日志内容 sed （修改器）

1）sed [-n][-e] '命令' 文件

-n选项是默认不输出信息，除非使用了p命令或者是s命令的p标志符；-e是表明空格后面接的是一个命令。

2）sed [-n] -f 脚本 文件

这个用法是把命令写在脚本里。

3、对记录进行排序 sort

4、统计日志相关记录数 awk

因为云服务器老是被植入挖矿木马，所以多少学习了如何发现异常的一些知识点。整理如下：

异常：发现/var/log/btmp文件逐渐增大，且文件占据空间较大。

/var/log/btmp用于记录错误的登录尝试

可能存在暴力破解，即使用密码字典登录ssh服务，此日志需使用 lastb 打开

（1）查看登录次数>100的IP

（2）防火墙屏蔽单个恶意登录的IP

添加完成后，用 service iptables status 可以查看iptables服务的当前状态。

（3）防火墙屏蔽大量恶意登录的IP

使用 ipset 命令。

①创建IP集IPlimit，增加IP限制为10万条

②为IP黑名单添加前缀参数

这些IP我抽查了几个，有来自英国、德国、美国、印度，甚至我国某些省市。

③ 使用ipset 命令加载这个文件到IP集

④创建iptables规则来屏蔽IP集中的IP

⑤查看iptables防护墙的filter表是否添加成功

⑥清理/var/log/btmp文件

iptables只是三种ip段，

封110.0.0.0—110.255.255.255 ip段的方法是在源ip里输入，110.0.0.0/8；

封110.110.0.0—110.110.255.255 ip段的方法是在源ip里输入，110.110.0.0/16；

封110.110.110.0—110.110.110.255 ip段的方法是在源ip里输入，110.110.110.0/24；

（1）加入开机自启动

chkconfig iptables on

（2）重启服务

service iptables restart

---