在Debian系统中,SSH日志通常记录在/var/log/auth.log文件中。要查看和分析SSH日志,可以使用以下命令和技巧:
sudo cat /var/log/auth.log | grep sshd
或者使用journalctl命令查看系统日志:
sudo journalctl -u ssh
sudo grep 'sshd' /var/log/auth.log --since "2021-09-01 00:00:00" --until "2021-09-30 23:59:59"
或者使用journalctl命令:
sudo journalctl -u ssh --since "2021-09-01" --until "2021-09-30"
sudo grep 'Failed password' /var/log/auth.log
sudo grep 'Accepted password' /var/log/auth.log
sudo grep '192.168.1.100' /var/log/auth.log
awk和sort命令对日志进行分析,例如统计每天的登录尝试次数:sudo grep 'sshd' /var/log/auth.log | awk '{print $1, $2}' | sort | uniq -c | sort -rn
fail2ban防止暴力破解:
fail2ban是一个用于防止暴力破解的工具,可以监控日志文件并根据规则禁止恶意IP地址访问。要安装fail2ban,请运行:sudo apt-get install fail2ban
然后根据需要配置/etc/fail2ban/jail.local文件。
grep和sed命令进行高级文本处理和分析:
例如,查找特定用户的所有SSH登录尝试:sudo grep 'sshd' /var/log/auth.log | grep 'username'
总之,通过结合使用这些命令和技巧,您可以有效地查看和分析Debian系统中的SSH日志。
