安全运维linux命令全集

lslogins、lastlog这个命令可以查看最后登录时间

重要系统日志文件：
/var/log/secure   #包含与身份验证和授权权限相关的信息
/var/log/cron     #与定时任务相关的日志信息
/var/log/auth.log #包含系统授权信息，包括使用的用户登录和身份验证机制
/var/log/daemon.log #包含系统上运行的各种后台守护程序记录的信息
/var/log/dpkg.log #包含使用dpkg 命令安装或删除软件包时记录的信息
/var/log/maillog /var/log/mail.log #包含来自系统上运行的邮件服务器的日志信息
/var/log/btmp     #此文件包含有关登录尝试失败的信息
/var/log/yum.log  #包含使用 yum 安装软件包时记录的信息

一些常用命令：
 grep -Po '(1\d{2}|2[0-4]\d|25[0-5]|[1-9]\d|[1-9])(\.(1\d{2}|2[0-4]\d|25[0-5]|[1-9]\d|\d)){3}'     #抓取IP的正则
grep 'Failed' /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr   #查看爆破失败的IP
grep 'Accepted' /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr   #查看登录成功的IP
grep "Accepted " /var/log/secure* | awk '{print $1,$2,$3,$9,$11}'    #查看登录成功的日期、用户名及IP

入侵分析排查溯源 

 浅析Linux系统入侵排查与应急响应技术 - 知乎

 攻防对抗之蓝队那些事儿 - 知乎