Linux操作系統(tǒng)在服務(wù)器端及個(gè)人電腦中都得到廣泛應(yīng)用，因其高效、安全、穩(wěn)定等特點(diǎn)備受青睞。然而，在系統(tǒng)管理中，監(jiān)控系統(tǒng)的安全性尤為重要，而系統(tǒng)登錄日志就是重要的監(jiān)控信息之一。登錄日志可以記錄用戶的登錄信息及其他關(guān)鍵事件，幫助管理員識別潛在的威脅、檢測被盜、加固系統(tǒng)安全性等。但是，日志文件往往體積巨大，需要花費(fèi)大量的時(shí)間和資源來閱讀和分析，因此，快速高效的日志篩選技巧顯得十分重要。

本文將著重介紹如何利用常用的命令和工具，在Linux系統(tǒng)中快速高效地篩選登錄日志信息，包括查找指定用戶登錄信息、查找指定時(shí)間段內(nèi)的登錄記錄、排查登錄失敗等。

一、查找指定用戶登錄信息

在Linux系統(tǒng)中，可以使用last命令查看系統(tǒng)上所有用戶（包括當(dāng)前和過去的）的登錄記錄。但是，如果需要了解某個(gè)用戶的登錄情況，可以使用以下命令來查找：

last username

該命令可以列出指定用戶的登錄記錄，顯示登錄時(shí)間、登錄方式（SSH、telnet等）、登錄IP地址等信息。例如，如果需要查找用戶名為“testuser”的登錄記錄，可以輸入以下命令：

last testuser

該命令將輸出類似以下的結(jié)果：

testuser pts/0 192.168.0.21 Tue Oct 19 15:30 still logged in

testuser tty3 Tue Oct 19 14:48 – 14:53 (00:04)

testuser pts/1 192.168.0.22 Tue Oct 19 09:25 – 11:39 (02:14)

testuser pts/1 192.168.0.22 Mon Oct 18 15:10 – 16:13 (01:03)

可以看出，該用戶在不同的終端和IP地址下進(jìn)行了登錄，并且有些登錄仍然處于活動(dòng)狀態(tài)。如果需要查找特定用戶最近的登錄記錄，可以使用以下命令：

last username -n 5

該命令列出指定用戶最近的5次登錄記錄。

二、查找指定時(shí)間段內(nèi)的登錄記錄

有時(shí)候需要查看某個(gè)時(shí)間段內(nèi)的登錄記錄，以確定系統(tǒng)安全性或者排查問題。下面介紹幾個(gè)命令來查找指定時(shí)間段內(nèi)的登錄記錄。

1、使用last命令

last命令中可以使用“-since”和“-until”選項(xiàng)來指定時(shí)間段。例如，以下命令將顯示指定時(shí)間段內(nèi)的登錄記錄：

last -since 2023-09-01 -until 2023-09-30

其中，since參數(shù)指定開始時(shí)間，until參數(shù)指定結(jié)束時(shí)間。對于此命令，它將顯示從2023年9月1日到9月30日之間的登錄記錄。

2、使用cat命令和auth日志文件

Linux系統(tǒng)中的auth日志文件記錄了所有與系統(tǒng)安全相關(guān)的信息，包括用戶的登錄、認(rèn)證和授權(quán)情況。因此，可以通過讀取這個(gè)日志文件來查找指定時(shí)間段內(nèi)的登錄記錄。以下是具體的步驟：

使用以下命令查看auth日志文件：

cat /var/log/auth.log

該命令將列出所有的登錄記錄和相關(guān)信息。然而，由于該文件通常非常大，因此需要使用grep命令來查找指定時(shí)間段內(nèi)的記錄。以下是一個(gè)例子：

cat /var/log/auth.log | grep “Sep 20 23:27”

上述命令將列出9月20日23:27時(shí)登錄系統(tǒng)的所有記錄。如果需要查找特定時(shí)間段內(nèi)的記錄，可以使用以下命令：

cat /var/log/auth.log | grep “Sep 20” | grep “23:2[45678]”

該命令列出9月20日23:24到23:28之間登錄系統(tǒng)的記錄。

三、排查登錄失敗

有時(shí)候，用戶可能會出現(xiàn)登錄失敗的情況，例如用戶名或密碼錯(cuò)誤等。以下是一些命令來查找登錄失敗的記錄。

1、使用lastb命令

lastb命令用于顯示最近的錯(cuò)誤登錄記錄。例如，以下命令將列出最近10次的登錄失?。?/p>

lastb -n 10

該命令將輸出從當(dāng)前到最近10次錯(cuò)誤登錄記錄的信息，包括用戶信息、時(shí)間、源IP地址等。

2、使用cat命令和auth日志文件

另一種查找登錄失敗記錄的方式是讀取auth日志文件。該文件記錄了所有與系統(tǒng)安全相關(guān)的信息，包括失敗的登錄嘗試。以下是一些命令來查找登錄失敗的記錄：

cat /var/log/auth.log | grep “Fled”

該命令將列出所有失敗的登錄記錄。

cat /var/log/auth.log | grep “Fled password for”

該命令將列出所有失敗的登錄嘗試的相關(guān)信息。

在Linux系統(tǒng)使用中，查看和分析登錄日志非常重要。使用以上介紹的，可以快速找到特定用戶的登錄信息、指定時(shí)間段內(nèi)的登錄記錄、登錄失敗等關(guān)鍵信息，有助于提升系統(tǒng)安全性、檢測潛在的威脅和優(yōu)化系統(tǒng)管理。

相關(guān)問題拓展閱讀：

• linux服務(wù)器中怎么查看日志內(nèi)容

linux服務(wù)器中怎么查看日志內(nèi)容

登錄

kbkiss

Linux查看日志常用命令

1.查看日志常用命令

    tail:  

n  是顯示行號；相當(dāng)于nl命令；例子如下：

tail -100f test.log      實(shí)時(shí)監(jiān)控100行日志

tail  -n  10  test.log   查詢?nèi)罩疚膊孔詈?0行的日志;

tail -n +10 test.log    查詢10行之后的所有困滲日志;

    head:  

跟tail是汪兆脊相反的猜罩，tail是看后多少行日志；例子如下：

head -n 10  test.log   查詢?nèi)罩疚募械念^10行日志;

head -n -10  test.log   查詢?nèi)罩疚募俗詈?0行的其他所有日志;

    cat： 

tac是倒序查看，是cat單詞反寫；例子如下：

cat -n test.log |grep “debug”   查詢關(guān)鍵字的日志

 

2. 應(yīng)用場景一：按行號查看—過濾出關(guān)鍵字附近的日志

     1）cat -n test.log |grep “debug”  得到關(guān)鍵日志的行號

     2）cat -n test.log |tail -n +92|head -n 20  選擇關(guān)鍵字所在的中間一行. 然后查看這個(gè)關(guān)鍵字前10行和后10行的日志:

tail -n +92表示查詢92行之后的日志

head -n 20 則表示在前面的查詢結(jié)果里再查前20條記錄

 

3. 應(yīng)用場景二：根據(jù)日期查詢?nèi)罩?/p>

      sed -n ‘/:17:20/,/:17:36/p’  test.log

      特別說明:上面的兩個(gè)日期必須是日志中打印出來的日志,否則無效；

先 grep ‘:17:20’ test.log 來確定日志中是否有該 時(shí)間點(diǎn)

 

4.應(yīng)用場景三：日志內(nèi)容特別多，打印在屏幕上不方便查看

    (1)使用more和less命令,

如： cat -n test.log |grep “debug” |more     這樣就分頁打印了,通過點(diǎn)擊空格鍵翻頁

    (2)使用 >xxx.txt 將其保存到文件中,到時(shí)可以拉下這個(gè)文件分析

如：cat -n test.log |grep “debug”  >debug.txt

關(guān)于linux 登錄日志篩選的介紹到此就結(jié)束了，不知道你從中找到你需要的信息了嗎 ？如果你還想了解更多這方面的信息，記得收藏關(guān)注本站。

香港服務(wù)器選創(chuàng)新互聯(lián)，2H2G首月10元開通。
創(chuàng)新互聯(lián)（www.cdcxhl.com）互聯(lián)網(wǎng)服務(wù)提供商,擁有超過10年的服務(wù)器租用、服務(wù)器托管、云服務(wù)器、虛擬主機(jī)、網(wǎng)站系統(tǒng)開發(fā)經(jīng)驗(yàn)。專業(yè)提供云主機(jī)、虛擬主機(jī)、域名注冊、VPS主機(jī)、云服務(wù)器、香港云服務(wù)器、免備案服務(wù)器等。

新聞標(biāo)題：快速高效的Linux登錄日志篩選技巧(linux登錄日志篩選)
URL標(biāo)題：http://uogjgqi.cn/article/dhchjec.html