日志分析的目的在于分析攻击者的行为,锁定问题出现的地方,进行针对性的解决

Linux系统的日志存放在/var/log目录下,常用的有

其他日志

常用的操作命令

lastlog        -- 查看所有用户最后一次登录的时间

history        -- 查看历史命令

日志分析方式

常用的日志分析命令有:find,grep,awk,sed

find命令常用来在指定目录下查找文件,默认是当前目录

find / -name httpd.conf    -- 根目录范围下,根据文件名搜索文件

-name    根据文件名搜索文件

/        查找的范围(路径)

grep命令用来在指定文件内查找内容

grep 'tom' /etc/shadow    -- 文件内查找内容

-n    显示行号

--color    高亮显示

^a    以a开头的内容

a$    以a结尾的内容

awk命令用来搜索内容所在的列

sed命令可以利用脚本来处理文本文件