Linux【13】-1-3-日志管理-linux下日志文件格式分析
今天因为某些原因需要查看下ssh登录日志。。打开日志文件一瞅发现有点乱,各种记录掺杂在一起,不是很方便排查。这里分别记录下不同情况下日志的记录格式。方便使用其他一些命令来分析排查。
一、日志文件格式分析
只要是由日志服务 rsyslogd 记录的日志文件,它们的格式就都是一样的。所以我们只要了解了日志文件的格式,就可以很轻松地看懂日志文件。
日志文件的格式包含以下 4 列:
- 事件产生的时间。
- 产生事件的服务器的主机名。
- 产生事件的服务名或程序名。
- 事件的具体信息。
我们查看一下 /var/log/secure 日志,这个日志中主要记录的是用户验证和授权方面的信息,更加容易理解。命令如下:
[root@localhost ~]# vi /var/log/secure
Jun 5 03:20:46 localhost sshd[1630]:Accepted password for root from 192.168.0.104 port 4229 ssh2
# 6月5日 03:20:46 本地主机 sshd服务产生消息:接收从192.168.0.104主机的4229端口发起的ssh连接的密码
Jun 5 03:20:46 localhost sshd[1630]:pam_unix(sshd:session):session opened for user root by (uid=0)
#时间 本地主机 sshd服务中pam_unix模块产生消息:打开用户root的会话(UID为0)
Jun 5 03:25:04 localhost useradd[1661]:new group:name=bb, GID=501
#时间 本地主机 useradd命令产生消息:新建立bb组,GID为501
Jun 5 03:25:04 localhost useradd[1661]:new user:name=bb, UID=501, GID=501, home=/home/bb, shell=/bin/bash
Jun 5 03:25:09 localhost passwd:pam_unix(passwd:chauthtok):password changed for bb
我截取了一段日志的内容,注释了其中的三句日志,剩余的两句日志大家可以看懂了吗?其实分析日志既是重要的系统维护工作,也是一项非常枯燥和烦琐的工作。如果我们的服务器出现了一些问题,比如系统不正常重启或关机、用户非正常登录、服务无法正常使用等,则都应该先查询日志。
实际上,只要感觉到服务器不是很正常就应该查看日志,甚至在服务器没有什么问题时也要养成定时查看系统日志的习惯。
二、ssh登陆日志文件secure分析
linux下ssh登录日志文件位置:
/var/log/secure
1、每行信息各字段含义:
月份 日期 时分秒 服务器主机名 程序(sshd或则su) 模块 详细信息
2、正常通过ssh连接进服务器的日志
Aug 8 02:20:09 imzcy sshd[18936]: Accepted password for root from 192.168.217.10 port 57516 ssh2
Aug 8 02:20:09 imzcy sshd[18936]: pam_unix(sshd:session): session opened for user root by (uid=0)
3、正常登陆后,退出日志
Aug 8 02:01:38 imzcy sshd[18252]: pam_unix(sshd:session): session closed for user root
4、切换到其他用户日志
Aug 8 02:20:54 imzcy su: pam_unix(su-l:session): session opened for user zcy by root(uid=0)
Aug 8 02:21:06 imzcy su: pam_unix(su-l:session): session closed for user zcy
5、使用root用户登录进系统户,切换到zcy用户,直接从zcy用户关掉连接窗口。
Aug 8 02:38:11 imzcy sshd[19167]: Accepted password for root from 192.168.217.10 port 58165 ssh2
Aug 8 02:38:11 imzcy sshd[19167]: pam_unix(sshd:session): session opened for user root by (uid=0)
Aug 8 02:38:13 imzcy su: pam_unix(su-l:session): session opened for user zcy by root(uid=0)
Aug 8 02:38:27 imzcy su: pam_unix(su-l:session): session closed for user zcy
Aug 8 02:38:27 imzcy sshd[19167]: pam_unix(sshd:session): session closed for user root
6、连接到服务器,提示输入密码时取消了
Aug 8 02:31:03 imzcy sshd[19046]: Received disconnect from 192.168.217.10: 13: The user canceled authentication.
7、密码输入错误
Aug 8 02:33:28 imzcy sshd[19125]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.217.10 user=root
Aug 8 02:33:31 imzcy sshd[19125]: Failed password for root from 192.168.217.10 port 57994 ssh2
8、密码错误次数太多
Aug 8 02:33:28 imzcy sshd[19125]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.217.10 user=root
Aug 8 02:33:31 imzcy sshd[19125]: Failed password for root from 192.168.217.10 port 57994 ssh2
Aug 8 02:34:06 imzcy last message repeated 3 times
Aug 8 02:34:13 imzcy last message repeated 2 times
Aug 8 02:34:47 imzcy sshd[19126]: Disconnecting: Too many authentication failures for root
Aug 8 02:34:47 imzcy sshd[19125]: Failed password for root from 192.168.217.10 port 57994 ssh2
Aug 8 02:34:47 imzcy sshd[19125]: PAM 6 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.217.10 user=root
Aug 8 02:34:47 imzcy sshd[19125]: PAM service(sshd) ignoring max retries; 7 > 3
参考资料
药企,独角兽,苏州。团队长期招人,感兴趣的都可以发邮件聊聊:tiehan@sina.cn
![]()
个人公众号,比较懒,很少更新,可以在上面提问题,如果回复不及时,可发邮件给我: tiehan@sina.cn
