应急响应排查Linux中的secure和message日志如何排查

在Linux系统中,/var/log/secure 和 /var/log/messages 是两个非常重要的日志文件,用于记录系统和安全相关的事件。如果你正在进行应急响应或排查潜在的安全问题,这两个日志文件是很好的起点。

/var/log/secure

这个日志文件记录了与安全相关的所有事件,比如SSH登录尝试、sudo命令的使用、以及其他与安全相关的服务的日志信息。

/var/log/messages

这个日志文件记录了系统的一般信息和错误消息,包括内核产生的消息、启动脚本消息以及其他系统守护进程的消息。

如何排查日志
使用tail查看最新的日志条目:

tail /var/log/secure
tail /var/log/messages

这会显示每个文件的最后10行内容。你可以通过-f参数来实时跟踪新的日志条目。

使用grep搜索特定的关键词:

grep 'sshd' /var/log/secure
grep 'error' /var/log/messages

这会搜索与SSH守护进程相关的条目,或者在messages日志中搜索包含“error”的行。

使用awk、sed或cut等工具来处理日志文件,以便提取你感兴趣的字段。

如何解读字段

日志文件中的每一行通常都会包含以下字段:

日期和时间:记录事件发生的日期和时间。 主机名:记录事件发生的主机。 服务名/进程名:产生该日志条目的服务或进程。
PID:产生该日志条目的进程ID。 日志信息:具体的日志消息,可能包含状态、错误代码、用户信息等。 如何判断正常与异常
了解正常行为:你需要知道系统在正常情况下的行为模式,这样才能识别出异常行为。比如,一个用户在非工作时间登录可能就是一个异常。

搜索异常模式:比如多次登录失败、不寻常的网络连接尝试、异常的系统错误信息等。

关注安全警告和错误:任何类型的安全警告或错误都应该被认真对待,特别是那些指示潜在入侵的。

使用日志管理工具:有些工具可以帮助你分析日志文件,比如Logwatch、Swatch或者商业的SIEM系统,它们可以自动化这个过程并提供更容易理解的输出。

上下文:单独的日志条目可能看起来正常,但如果你考虑到上下文(比如与其他日志条目的关系),它可能就显得异常了。

比较历史数据:与历史日志数据比较,看看是否有不同寻常的模式或变化。

记住,排查日志是一个需要细致观察和经验的过程。随着时间的推移,你会对系统的正常行为和潜在的异常行为有更好的理解。

举例

给出这些常见的日志例子以及各个字段的含义,比如SSH登录尝试、sudo命令、错误消息、启动脚本消息等等,一定要详细,覆盖常见的应急日志排查项

当然,让我们来看一些常见的日志示例,并解释其中的字段含义。

SSH登录尝试

日志示例:

Feb 10 10:15:01 server sshd[19518]: Failed password for root from 192.168.1.1 port 22 ssh2

字段解释:

Feb 10 10:15:01 - 日期和时间戳,表示事件发生的时间。 
server - 主机名,表示事件发生的服务器。 
sshd[19518] - 服务名和进程ID,这里sshd是SSH守护进程,19518是它的进程ID。 Failed password for root - 日志消息,表示有一个失败的密码尝试用于root用户。 
from 192.168.1.1 - 表示尝试登录的来源IP地址。 
port 22 - 尝试连接的端口号,SSH默认是22。 
ssh2 - 使用的SSH协议版本。

sudo命令使用

日志示例:

Feb 10 10:20:30 server sudo:    jdoe : TTY=pts/1 ; PWD=/home/jdoe ; USER=root ; COMMAND=/bin/cat /etc/passwd

字段解释:

Feb 10 10:20:30 - 日期和时间戳。
server - 主机名。
sudo - 表示这个日志条目与sudo命令有关。
jdoe - 执行sudo命令的用户。
TTY=pts/1 - 用户登录的终端。
PWD=/home/jdoe - 用户执行命令时的当前工作目录。
USER=root - sudo命令试图以哪个用户的身份执行。
COMMAND=/bin/cat /etc/passwd - 实际执行的命令。

系统错误消息

日志示例:

Feb 10 10:30:45 server kernel: [  561.442198] Out of memory: Kill process 12345 (java) score 180 or sacrifice child

字段解释:

Feb 10 10:30:45 - 日期和时间戳。
server - 主机名。
kernel - 表示这是一个来自内核的消息。
[  561.442198] - 时间戳,表示自系统启动以来的时间(单位为秒)。
Out of memory - 错误消息,表示系统内存不足。
Kill process 12345 (java) - 系统决定终止的进程ID和名称。
score 180 - OOM评分,越高表示进程越有可能被杀死释放内存。
or sacrifice child - 表示系统可能会选择杀死子进程来回收内存。

启动脚本消息

日志示例:

Feb 10 10:35:00 server systemd[1]: Started Session 1234 of user jdoe.

字段解释:

Feb 10 10:35:00 - 日期和时间戳。
server - 主机名。
systemd[1] - 服务名和进程ID,这里systemd是系统守护进程,1通常是它的进程ID。
Started Session 1234 - 日志消息,表示启动了一个新的会话。
of user jdoe - 会话所属的用户。

安全警告

日志示例:

Feb 10 10:40:15 server sshd[19518]: Received disconnect from 192.168.1.1 port 22:11: Bye Bye [preauth]

字段解释:

Feb 10 10:40:15 - 日期和时间戳。
server - 主机名。
sshd[19518] - 服务名和进程ID。
Received disconnect from 192.168.1.1 - 表示从特定IP地址收到了断开连接的请求。
port 22:11 - 断开连接的端口号和原因代码。
Bye Bye [preauth] - 断开连接前的最后消息,[preauth]表示这发生在认证之前。

在审查这些日志时,你应该注意任何不寻常的模式,如非工作时间的登录尝试、频繁的失败认证、不寻常的命令执行等。这些可能是安全事件或系统问题的迹象。通过对比正常行为和异常行为,你可以确定是否需要进一步的调查或采取行动。

你可能感兴趣的:(linux,运维,服务器)