secure日志(securecrt 日志)

SecureCRT 输出日志有问题 每页都有分隔符

选中右击----单元格属性---数字分类（数值）----勾选（使用千位分隔符）

选中右击----单元格属性---数字分类（自定义），手动设一下

帮忙分析/var/log/secure日志，是否被攻击？

发布:独自等待

上天查看了服务器安全日志，防火墙屏蔽了处理了一些暴力破解ssh密码的ip（其中一个ip地址为北京一家有名的CDN服务提供商），然后删除了所有的/var/log/secure* 日志文件。

今天再来查看日志的时候，发现/var/log/secure竟然没有记录，才想到直接删除日志文件的时候，对应的服务需要重启。运行命令：service syslog restart ;service sshd restart 后正常。

顺便复习下ssh在syslog中的设置的知识。

1、/etc/ssh/sshd_config 中的设置：（即:SyslogFacility 设为AUTHPRIV）

[root@mail ~]# more /etc/ssh/sshd_config

#Port 22

# Logging

# obsoletes QuietMode and FascistLogging

#SyslogFacility AUTH

strongSyslogFacility AUTHPRIV/strong

#LogLevel INFO

#就是把sshd的日志定义在authriv.info级别。

2、配合/etc/syslog.conf中的设置：

[root@mail ~]# more /etc/syslog.conf

# Log all kernel messages to the console.

# Logging much else clutters up the screen.

#kern.* /dev/console

# Log anything (except mail) of level info or higher.

# Dont log private authentication messages!

*.info;mail.none;authpriv.none;cron.none /var/log/messages

# The authpriv file has restricted access.

strongauthpriv.* /var/log/secur/stronge

CentOS常用查看日志命令

系统 ? 日志文件（ ?可以通过 cat ?或 tail ?命令来查看 ）

tail -f /var/log/secure? 实时查看服务器安全日志（主要是 tail -f 实时查看）

/var/log/message 系统启动后的信息和错误日志，是Red Hat Linux中最常用的日志之一

/var/log/secure 与安全相关的日志信息

/var/log/maillog 与邮件相关的日志信息

/var/log/cron 与定时任务相关的日志信息

/var/log/spooler 与UUCP和news设备相关的日志信息

/var/log/boot.log 守护进程启动和停止相关的日志消息

系统信息

# uname -a # 查看内核/操作系统/CPU信息

# cat /etc/issue

# cat /etc/redhat-release # 查看操作系统版本

# cat /proc/cpuinfo # 查看CPU信息

# hostname # 查看计算机名

# lspci -tv # 列出所有PCI设备

# lsusb -tv # 列出所有USB设备

# lsmod # 列出加载的内核模块

# env # 查看环境变量

资源

# free -m # 查看内存使用量和交换区使用量

# df -h # 查看各分区使用情况

# du -sh 目录名 # 查看指定目录的大小

# grep MemTotal /proc/meminfo # 查看内存总量

# grep MemFree /proc/meminfo # 查看空闲内存量

# uptime # 查看系统运行时间、用户数、负载

# cat /proc/loadavg # 查看系统负载

磁盘和分区

# mount | column -t # 查看挂接的分区状态

# fdisk -l # 查看所有分区

# swapon -s # 查看所有交换分区

# hdparm -i /dev/hda # 查看磁盘参数(仅适用于IDE设备)

# dmesg | grep IDE # 查看启动时IDE设备检测状况

网络

# ifconfig # 查看所有网络接口的属性

# iptables -L # 查看防火墙设置

# route -n # 查看路由表

# netstat -lntp # 查看所有监听端口

# netstat -antp # 查看所有已经建立的连接

# netstat -s # 查看网络统计信息

进程

# ps -ef # 查看所有进程

# top # 实时显示进程状态(另一篇文章里面有详细的介绍)

用户：

# w # 查看活动用户

# id 用户名 # 查看指定用户信息

# last # 查看用户登录日志

# cut -d: -f1 /etc/passwd # 查看系统所有用户

# cut -d: -f1 /etc/group # 查看系统所有组

# crontab -l # 查看当前用户的计划任务

服务

# chkconfig –list # 列出所有系统服务

# chkconfig –list | grep on # 列出所有启动的系统服务

程序

# rpm -qa # 查看所有安装的软件包