Linux安全日志分析指南

常用日志文件位置

1. 系统日志:

   • /var/log/syslog - 通用系统活动日志
   • /var/log/auth.log - 认证相关日志
   • /var/log/kern.log - 内核日志

2. 服务日志:

   • /var/log/apache2/ - Apache Web服务器日志
   • /var/log/nginx/ - Nginx Web服务器日志
   • /var/log/mysql.log - MySQL数据库日志

核心分析工具

1. grep - 基础文本搜索

# 查找失败的登录尝试
grep "Failed password" /var/log/auth.log

# 查找特定IP的活动
grep "192.168.1.100" /var/log/auth.log /var/log/syslog

# 不区分大小写搜索
grep -i "error" /var/log/syslog

2. awk - 高级文本处理

# 统计失败登录尝试的用户名
awk '/Failed password/ {print $9}' /var/log/auth.log | sort | uniq -c | sort -nr

# 提取特定时间段的日志
awk '/Jun 15 10:00/,/Jun 15 11:00/' /var/log/syslog

3. sed - 流编辑器

# 提取特定时间后的日志
sed -n '/Jun 15 10:00/,$p' /var/log/syslog

# 替换敏感信息
sed 's/192.168.1.100/[REDACTED]/g' auth.log

4. journalctl - 系统日志查询

# 查看最近的安全相关日志
journalctl -u sshd --since "1 hour ago"

# 跟踪实时日志
journalctl -f

5. logwatch - 日志摘要工具

# 安装
sudo apt install logwatch

# 生成日报
logwatch --range yesterday --detail high

高级分析技术

1. 使用正则表达式

# 查找可能的暴力破解尝试
grep -E "Failed password|Invalid user" /var/log/auth.log

# 查找可疑的SSH活动
grep -E "sshd.*(Did not receive identification|Failed|Invalid)" /var/log/auth.log

2. 日志聚合分析

# 统计每小时登录尝试
cat /var/log/auth.log | grep "Failed password" | awk '{print $3}' | cut -d: -f1 | uniq -c

# 统计最活跃的攻击IP
grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | head -20

3. 使用专用安全工具

• Fail2Ban: 自动阻止恶意IP
• OSSEC: 开源入侵检测系统
• Logstash: 日志收集和分析管道
• Splunk/ELK Stack: 企业级日志分析平台

自动化监控脚本示例

#!/bin/bash

# 监控SSH暴力破解
ALERT_FILE="/tmp/ssh_alert.log"
THRESHOLD=5

# 检查过去10分钟内失败登录
COUNT=$(grep "Failed password" /var/log/auth.log | grep "$(date '+%b %d %H:%M' --date='10 minutes ago')" -A 10000 | wc -l)

if [ "$COUNT" -gt "$THRESHOLD" ]; then
    echo "[$(date)] 检测到SSH暴力破解尝试: $COUNT 次失败登录" >> "$ALERT_FILE"
    # 可以添加邮件通知或其他警报机制
fi

最佳实践

1. 日志轮转: 配置logrotate防止日志过大
2. 集中式日志: 使用rsyslog或syslog-ng集中存储日志
3. 定期审查: 设置cron作业定期分析日志
4. 实时监控: 对关键服务实施实时日志监控
5. 日志保护: 确保日志文件权限正确(通常640, root:adm)

通过合理组合这些工具和技术，您可以有效监控Linux系统的安全状况，及时发现潜在威胁。