Linux安全日志查看与分析指南

本文系统讲解了Linux安全日志的精准定位与高效分析方法，涵盖RHEL系（/var/log/secure）和Debian系（/var/log/auth.log）的日志路径识别、实时监控（tail -f）、systemd日志检索（journalctl）、以及攻击IP自动提取与统计（awk），帮助运维和安全人员快速发现SSH暴力破解、非法登录尝试和权限异常等关键威胁，是实战中不可或缺的入侵排查与主动防御指南。

如果您需要排查用户登录异常、SSH暴力破解尝试或权限变更事件，则必须深入分析Linux系统安全日志。secure日志（RHEL/CentOS）与auth.log日志（Ubuntu/Debian）是记录认证行为的核心文件，其内容直接反映系统访问控制状态。以下是针对这两类日志的进阶查看与分析方法：

一、确认当前发行版对应的安全日志路径

不同Linux发行版将认证日志写入不同文件，必须先准确识别路径，否则将无法定位关键事件。RHEL系默认使用/var/log/secure，而Debian系使用/var/log/auth.log；若路径错误，所有后续分析均无效。

1、执行命令判断发行版类型：cat /etc/os-release | grep -E "NAME|VERSION_ID"

2、根据输出结果选择对应日志路径：RHEL/CentOS/Fedora → /var/log/secure；Ubuntu/Debian/Pop!_OS → /var/log/auth.log

3、验证日志文件是否存在且可读：ls -l /var/log/secure /var/log/auth.log 2>/dev/null

二、使用tail -f实时监控登录失败事件

该方法适用于正在发生攻击或调试登录流程的场景，能即时捕获新生成的失败认证条目，避免遗漏动态事件。

1、以root权限运行实时监控：sudo tail -f /var/log/secure | grep "Failed password"

2、若为Debian系系统，替换路径：sudo tail -f /var/log/auth.log | grep "Failed password"

3、同时过滤多个关键词以覆盖常见失败模式：sudo tail -f /var/log/secure | grep -E "Failed password|Invalid user|Connection closed"

三、用journalctl检索systemd服务认证日志

当系统启用systemd且rsyslog未接管全部日志时，部分认证事件（尤其是sshd服务重启期间）仅存在于journald缓冲区中，需通过journalctl提取。

1、查看sshd服务的全部认证相关日志：sudo journalctl -u sshd --no-pager

2、筛选过去1小时内含“authentication failure”的条目：sudo journalctl -u sshd --since "1 hour ago" | grep "authentication failure"

3、按优先级只显示错误级别日志：sudo journalctl -u sshd -p err --no-pager

四、提取并统计失败登录的源IP地址

识别高频攻击源IP是阻断暴力破解的关键步骤，需从原始日志中剥离IP字段并去重计数，便于后续加入防火墙黑名单。

1、从secure日志中提取IPv4地址并统计频次：sudo awk '/Failed password/ {for(i=1;i

2、对auth.log执行等效操作：sudo awk '/Failed password/ {for(i=1;i

3、限制输出前5个最高频IP：上述命令末尾追加 | head -5

五、结合dmesg与secure日志交叉验证PAM模块异常

当出现“Authentication failure”但无对应用户行为记录时，可能源于PAM配置错误或内核级认证拦截，需检查内核消息是否报告PAM或SELinux拒绝事件。

1、搜索dmesg中与PAM相关的警告或拒绝信息：sudo dmesg -T | grep -i "pam\|avc\|selinux"

2、在secure日志中查找同一时间戳附近的认证失败行：sudo grep "$(date -d '1 minute ago' '+%b %d %H:%M')\|$(date -d '2 minutes ago' '+%b %d %H:%M')" /var/log/secure

3、若发现SELinux拒绝记录，需进一步检查audit日志：sudo ausearch -m avc -ts recent | aureport -f -i

本篇关于《Linux安全日志查看与分析指南》的介绍就到此结束啦，但是学无止境，想要了解学习更多关于文章的相关知识，请关注golang学习网公众号！