日志分析的目的在于分析攻击者的行为,锁定问题出现的地方,进行针对性的解决
Linux系统的日志存放在/var/log目录下,常用的有
其他日志
常用的操作命令
lastlog -- 查看所有用户最后一次登录的时间
history -- 查看历史命令
日志分析方式
常用的日志分析命令有:find,grep,awk,sed
find命令常用来在指定目录下查找文件,默认是当前目录
find / -name httpd.conf -- 根目录范围下,根据文件名搜索文件
-name 根据文件名搜索文件
/ 查找的范围(路径)
grep命令用来在指定文件内查找内容
grep 'tom' /etc/shadow -- 文件内查找内容
-n 显示行号
--color 高亮显示
^a 以a开头的内容
a$ 以a结尾的内容
awk命令用来搜索内容所在的列
sed命令可以利用脚本来处理文本文件
