阅读量:1
查看SSH日志
-
命令行查看
- 使用
journalctl(适用于systemd系统):
sudo journalctl -u sshd(查看SSH服务日志)
可添加时间参数,如--since "2025-01-01"限制时间范围。 - 查看日志文件:
sudo cat /var/log/auth.log | grep sshd(过滤SSH相关日志)
实时监控:sudo tail -f /var/log/auth.log | grep sshd。
- 使用
-
图形化工具
- 使用
less或more分页查看:sudo less /var/log/auth.log。
- 使用
分析SSH日志
-
常见日志类型
- 登录成功:
Accepted password for user from IP。 - 登录失败:
Failed password for user from IP(可判断暴力破解)。 - 权限问题:
Authentication refused: bad ownership(密钥权限异常)。 - 连接异常:
Connection closed by IP(可能因防火墙或服务配置)。
- 登录成功:
-
分析命令示例
- 统计失败登录次数最多的IP:
sudo grep 'Failed password' /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | head -10。 - 提取特定时间段(如1小时内)的登录记录:
sudo awk '/sshd.*Accepted/ && $3 ~ /[0-9]{2}:[0-9]{2}/ {if ($3 >= "10:00" && $3 <= "11:00") print $0}' /var/log/auth.log。
- 统计失败登录次数最多的IP:
-
安全风险识别
- 短时间内大量失败登录尝试可能为暴力破解,需结合IP封禁(如使用
ufw或iptables)。 - 非授权IP的登录成功记录需核查用户权限及
sshd_config中的AllowUsers配置。 - 密钥认证失败需检查
~/.ssh/authorized_keys文件权限(应为600)及密钥格式。
- 短时间内大量失败登录尝试可能为暴力破解,需结合IP封禁(如使用
日志轮转与清理
- 系统默认通过
logrotate每周轮转压缩日志(文件名含.1.gz等后缀),可通过以下命令查看配置:
cat /etc/logrotate.d/rsyslog | grep auth.log。 - 手动清理旧日志:
sudo rm /var/log/auth.log.*.gz(谨慎操作,建议先备份)。
参考来源:
以上就是关于“Ubuntu SSH日志查看与分析”的相关介绍,筋斗云是国内较早的云主机应用的服务商,拥有10余年行业经验,提供丰富的云服务器、租用服务器等相关产品服务。云服务器资源弹性伸缩,主机vCPU、内存性能强悍、超高I/O速度、故障秒级恢复;电子化备案,提交快速,专业团队7×24小时服务支持!
简单好用、高性价比云服务器租用链接:https://www.jindouyun.cn/product/cvm