VPS登录日志怎么查?新手必看避坑指南,VPS登录日志查询新手攻略,避开常见陷阱
各位刚入门的小白们,有没有遇到过这种情况——突然发现自己的VPS半夜被人登录了,或者账号密码明明没泄露却提示异地登录?别慌!今天咱们就手把手教你查VPS登录日志,让你秒变"服务器侦探"!
一、查日志就像看监控回放
Linux党看这里
last命令是万能钥匙
在终端输入last,唰的一下就能看到最近登录记录。就跟超市查监控似的,谁几点来几点走都门儿清。想查特定用户?加个用户名就行,比如last root
auth.log和secure文件
- Debian/Ubuntu用户找
/var/log/auth.log - CentOS用户盯紧
/var/log/secure
用grep 'Accepted' /var/log/auth.log这招,能把成功登录的记录都筛出来,比淘金还精准
- Debian/Ubuntu用户找
Windows用户别着急
- 按
Win+R输入eventvwr.msc打开事件查看器 - 在安全日志里找事件ID 4624(成功登录)和4625(失败尝试)
- 重点看"来源网络地址"这栏,跟查IP属地一个道理
二、命令大全表(建议收藏)
| 命令 | 作用 | 适用系统 |
|---|---|---|
last | 显示所有登录记录 | Linux |
lastb | 查看失败登录尝试 | Linux |
who | 查看当前在线用户 | Linux |
quser | 显示远程桌面连接情况 | Windows |
Get-WinEvent | PowerShell查登录事件 | Windows |
举个真实案例:去年有网友用lastb发现每小时300多次暴力破解,赶紧加了防火墙规则,成功保住服务器
三、灵魂拷问时间
Q:日志文件在哪找?
A:Linux系统日志都藏在/var/log这个文件夹里,就跟监控录像存在保安室一个道理。重点盯梢这几个文件:
wtmp:正经登录记录btmp:失败尝试黑历史lastlog:用户最后登录时间
Q:怎么看登录IP是不是自己?
A:在Linux用last -i,Windows看事件详情里的"源网络地址"。就跟查快递发货地似的,一眼就能看出是不是常用地址
Q:日志太多怎么看?
A:试试last | head -n 20只看前20条,或者grep '192.168.1.100' /var/log/auth.log筛选特定IP。就跟用关键词搜聊天记录一个道理
四、小编血泪忠告
混迹运维圈五年,说点得罪人的大实话:
- 每周至少查一次日志:别等账号被盗了才想起来,跟车坏了才买保险一个道理
- 清空日志要谨慎:见过有人手滑清了
/var/log/wtmp,结果追查不到入侵记录 - 活用监控脚本:写个自动报警脚本,异常登录立马短信通知,比天天查省心多了
最后暴个行业内幕:很多黑客会删日志掩盖行踪!教你们个绝招——用auditd服务做日志保护,谁动日志文件都会留下记录。记住咯,服务器安全无小事,查日志这招可得练熟了!