Ubuntu系统Telnet日志如何查看
小樊
35
2025-11-14 13:39:06
Ubuntu 查看 Telnet 日志的常用方法
一 系统日志与认证日志检索
- 使用 journalctl 检索 Telnet 相关日志(适用于 systemd 系统):
- 查看全部:sudo journalctl | grep “telnet”
- 按时间范围:sudo journalctl --since “2025-04-01” --until “2025-04-30” | grep “telnet”
- 实时跟踪:sudo journalctl -f | grep “telnet”
- 查看 /var/log/auth.log(认证类日志,常见 Telnet 登录尝试与失败记录):
- 全部:sudo cat /var/log/auth.log | grep “telnet”
- 最近 N 条:sudo tail -n 50 /var/log/auth.log | grep “telnet”
- 实时跟踪:sudo tail -f /var/log/auth.log | grep “telnet”
- 查看 /var/log/syslog(系统综合日志,部分环境 Telnet 也会被记录):
- 全部:sudo cat /var/log/syslog | grep “telnet”
- 最近 N 条:sudo tail -n 50 /var/log/syslog | grep “telnet”
- 说明:较新的 Ubuntu 版本通常将服务日志写入 journal 与 /var/log/auth.log;部分老版本或特定配置下更多记录在 /var/log/syslog。
二 按服务查看 inetd xinetd 日志
- 若 Telnet 由 inetd/xinetd 托管,可直接查看其服务日志:
- 查看服务日志:sudo journalctl -u inetd 或 sudo journalctl -u xinetd
- 在 xinetd 配置中可开启更详细日志,例如在 /etc/xinetd.d/telnet 中设置:
- 修改后重启:sudo systemctl restart xinetd
- 之后可在 /var/log/syslog 或 journal 中看到类似记录:
- xinetd[1234]: connect from 192.168.1.100
- in.telnetd[1234]: Connection closed by 192.168.1.100
三 网络层抓包排查
- 使用 tcpdump 实时抓取 23/TCP 端口流量(需要 root 权限):
- 抓取所有 Telnet 会话:sudo tcpdump -i any port 23
- 抓取指定来源 IP:sudo tcpdump -i any host 192.168.1.100 and port 23
- 提示:抓包会产生较多输出,建议按需过滤并限制时间窗口。
四 实用排查命令速查
- 最近 100 条含 telnet 的 auth 日志:sudo tail -n 100 /var/log/auth.log | grep -i telnet
- 过去 30 分钟系统日志中的 telnet:sudo journalctl --since “30 min ago” | grep -i telnet
- 查看 xinetd 最近日志:sudo journalctl -u xinetd -n 200 | grep -i telnet
- 按 IP 过滤 syslog 中的 telnet:sudo grep “192.168.1.100” /var/log/syslog | grep -i telnet
五 注意事项
- 需要 sudo 权限读取日志文件与系统日志,部分环境日志轮转后需检查 /var/log/auth.log.1、/var/log/syslog.1 等归档文件。
- Telnet 明文传输不安全,建议仅在内网测试环境使用;生产环境优先采用 SSH 并配合集中化日志审计。
