观天Linux日志溯源,这是主机层面的日志分析溯源,如果是其他组件服务,也可以溯源,因为每一种服务也会产生自己的运行,访问,错误,正常的日志记录。
主机溯源的几条命令:
awk '/$1|$6/{print $1}' /etc/shadow 查看允许远程的账户
awk -F: '$3==0{print $1}' /etc/passwd 查看特权账户
more /etc/sudoers | grep -v "^#|^$" | grep "ALL=(ALL)" 查看存在特权的账户
last -f /var/log/wtmp 查看记录
more/etc/shadow
lastlog 查看最后登录过的用户
还需要结合账户的新增,禁用,权限一起排查。
/var/log/auth.log 包含系统授权信息,包括用户登录和使用的权限机制等信息
/var/log/lastlog 记录登录的用户,可以使用命令lastlog查看
/var/log/secure 记录大多数应用输入的账号与密码,登录成功与否
/var/log/cron 记录crontab命令是否被正确的执行
