Linux系统安全日志分析_异常行为识别方法【指导】

冷漠man

发布时间：2026-01-08 18:21:08

678人浏览过

来源于php中文网

原创

快速定位暴力破解需用grep提取Failed password的IP并统计频次，结合5分钟内≥10次失败判定攻击；区分日志源（auth.log/btmp/journalctl）及字段位置差异；验证fail2ban路径、正则、时区配置。

linux系统安全日志分析_异常行为识别方法【指导】

如何快速定位 `auth.log` 中的暴力破解尝试

Linux 的 auth.log（Ubuntu/Debian）或 secure（RHEL/CentOS）是识别登录异常的核心日志源。暴力破解最典型的痕迹是短时间内大量 Failed password 记录，且来源 IP 高度集中。

用 grep "Failed password" /var/log/auth.log | awk '{print $(NF-3)}' | sort | uniq -c | sort -nr | head -10 快速提取高频失败登录 IP
注意区分真实用户误输和攻击：同一 IP 在 5 分钟内出现 ≥10 次失败，基本可判定为扫描行为
SSH 默认日志不记录用户名时，需配合 grep "Invalid user\|Failed password" /var/log/auth.log 并检查字段位置——不同 OpenSSH 版本中用户名所在列可能不同（常见为第9或第10列）
若系统启用了 rsyslog 的 imfile 模块做日志转发，原始时间戳可能被覆盖，优先以日志行首时间为准，而非 date 命令解析结果

`lastb` 和 `journalctl` 日志输出差异与选用场景

lastb 读取的是二进制 /var/log/btmp，只存失败登录；journalctl -u sshd --since "2 hours ago" 则从 systemd journal 实时聚合，含更完整上下文（如 PAM 模块调用链），但默认不持久化，重启后丢失。

排查近期问题优先用 journalctl -u sshd -n 100 -o short-iso（-n 控制行数，-o 统一时间格式）
要追溯历史（如上周是否被爆破），必须查 lastb -i | head -20（-i 显示 IP 而非主机名）或解压归档的 btmp* 文件
journalctl 默认日志大小受 /etc/systemd/journald.conf 中 SystemMaxUse 限制，若设为 50M，旧日志会被轮转丢弃——别假设“所有日志都在”

用 `awk` 提取异常 sudo 行为的关键字段

提权操作比普通登录更危险。/var/log/auth.log 中 sudo: 日志包含用户、终端、命令三要素，但格式松散，直接 grep 易漏判。

陌言AI

陌言AI是一个一站式AI创作平台，支持在线AI写作，AI对话，AI绘画等功能

下载

awk '/sudo:.*COMMAND/{user=$1; tty=$3; cmd=$0; sub(/^.*COMMAND=/,"",cmd); print user, tty, cmd}' /var/log/auth.log | grep -v "PATH="

重点过滤掉 PATH= 开头的环境变量记录（属于 sudo 启动时的冗余信息）
真正可疑的是：非交互式终端（如 tty=pts/0 但无对应 sshd 登录记录）、用户执行了 /bin/bash 或 nohup 等隐蔽启动 shell 的命令
注意 sudo -i 和 sudo su - 日志中用户字段可能显示为 root，需向前追溯上一条 USER=xxx 的 sudo 行确认原始操作者

fail2ban 配置失效的三个典型原因

很多团队装了 fail2ban 却没拦住攻击，问题常不在规则本身，而在日志路径、时区或服务状态。

确认 fail2ban-client status sshd 输出中 Currently banned: 数值非零；若为 0，先查 fail2ban-client get sshd failregex 是否匹配到日志中的实际字符串（比如日志写的是 Connection closed by invalid user，而默认正则只捕获 Failed password）
检查 /etc/fail2ban/jail.local 中 logpath 是否指向正确文件（Ubuntu 是 /var/log/auth.log，CentOS 是 /var/log/secure），且文件权限允许 fail2ban 用户读取（cat /var/log/auth.log 能读 ≠ fail2ban 能读）
系统时区与日志时间不一致会导致匹配失败——date 和 tail -1 /var/log/auth.log 时间差超过 1 分钟，就需同步 timedatectl set-timezone $YOUR_ZONE 并重启 fail2ban

日志分析不是比谁跑的命令长，而是看能不能在 30 秒内确认一个 IP 是否真在攻击、哪个用户被滥用了、规则到底生效没。时间戳对齐、路径写死、字段位置偏移——这些细节卡住的地方，比算法模型更容易让整个分析停摆。

Linux运维平台脚手架教程_统一运维入口设计

Linux系统调用如何工作_用户态与内核态解析【指导】

Linux数据安全存储策略_权限与备份协同方案【技巧】

Linux存储管理最佳实践_长期运维策略总结【指导】

Linux网络基础结构理解_通信流程与配置说明【教程】

相关专题

python中print函数的用法

python中print函数的语法是“print(value1, value2, ..., sep=' ', end=' ', file=sys.stdout, flush=False)”。本专题为大家提供print相关的文章、下载、课程内容，供大家免费下载体验。

184

2023.09.27

sort排序函数用法

sort排序函数的用法：1、对列表进行排序，默认情况下，sort函数按升序排序，因此最终输出的结果是按从小到大的顺序排列的；2、对元组进行排序，默认情况下，sort函数按元素的大小进行排序，因此最终输出的结果是按从小到大的顺序排列的；3、对字典进行排序，由于字典是无序的，因此排序后的结果仍然是原来的字典，使用一个lambda表达式作为key参数的值，用于指定排序的依据。

383

2023.09.04

js 字符串转数组

js字符串转数组的方法：1、使用“split()”方法；2、使用“Array.from()”方法；3、使用for循环遍历；4、使用“Array.split()”方法。本专题为大家提供js字符串转数组的相关的文章、下载、课程内容，供大家免费下载体验。

253

2023.08.03

js截取字符串的方法

js截取字符串的方法有substring()方法、substr()方法、slice()方法、split()方法和slice()方法。本专题为大家提供字符串相关的文章、下载、课程内容，供大家免费下载体验。

206

2023.09.04

java基础知识汇总

java基础知识有Java的历史和特点、Java的开发环境、Java的基本数据类型、变量和常量、运算符和表达式、控制语句、数组和字符串等等知识点。想要知道更多关于java基础知识的朋友，请阅读本专题下面的的有关文章，欢迎大家来php中文网学习。

1463

2023.10.24

字符串介绍

字符串是一种数据类型，它可以是任何文本，包括字母、数字、符号等。字符串可以由不同的字符组成，例如空格、标点符号、数字等。在编程中，字符串通常用引号括起来，如单引号、双引号或反引号。想了解更多字符串的相关内容，可以阅读本专题下面的文章。

613

2023.11.24

java读取文件转成字符串的方法

Java8引入了新的文件I/O API，使用java.nio.file.Files类读取文件内容更加方便。对于较旧版本的Java，可以使用java.io.FileReader和java.io.BufferedReader来读取文件。在这些方法中，你需要将文件路径替换为你的实际文件路径，并且可能需要处理可能的IOException异常。想了解更多java的相关内容，可以阅读本专题下面的文章。

547

2024.03.22

php中定义字符串的方式

php中定义字符串的方式：单引号；双引号；heredoc语法等等。想了解更多字符串的相关内容，可以阅读本专题下面的文章。

542

2024.04.29

Golang 分布式缓存与高可用架构

本专题系统讲解 Golang 在分布式缓存与高可用系统中的应用，涵盖缓存设计原理、Redis/Etcd集成、数据一致性与过期策略、分布式锁、缓存穿透/雪崩/击穿解决方案，以及高可用架构设计。通过实战案例，帮助开发者掌握如何使用 Go 构建稳定、高性能的分布式缓存系统，提升大型系统的响应速度与可靠性。

2026.01.09

热门下载

网站特效

网站源码

网站素材

前端模板