VPS登录日志怎么查看?_5个命令教你快速排查登录记录
如何查看VPS的登录日志?
| 日志类型 | 查看命令 | 说明 |
|---|---|---|
| 系统登录日志 | lastlog |
显示所有用户的最近登录记录 |
| SSH登录日志 | grep "Accepted" /var/log/auth.log |
筛选SSH登录成功的记录 |
| 失败登录尝试 | grep "Failed" /var/log/auth.log |
查看失败的登录尝试记录 |
| 完整登录历史 | last |
显示所有用户的完整登录历史 |
VPS登录日志怎么查看?5个命令教你快速排查登录记录
作为VPS管理员,定期查看登录日志是保障服务器安全的重要步骤。通过分析登录记录,可以及时发现异常登录行为、防止暴力破解攻击。本文将介绍5个常用命令,帮助你快速查看和分析VPS的登录日志。1. 查看系统登录日志
lastlog命令是最基础的查看登录日志的方法。它会显示所有用户账户的最后登录时间、IP地址和登录终端。对于从未登录过的账户,会显示"Never logged in"。
- 使用示例:
lastlog -u username(查看指定用户的登录记录) - 输出字段说明:用户名、终端类型、来源IP、最后登录时间
2. 分析SSH登录记录
SSH登录记录通常存储在/var/log/auth.log文件中。可以使用以下命令筛选特定类型的登录记录:- 查看成功登录记录:
grep "Accepted" /var/log/auth.log - 查看失败登录尝试:
grep "Failed" /var/log/auth.log - 查看完整SSH日志:
tail -f /var/log/auth.log(实时监控)
3. 查看完整登录历史
last命令会显示所有用户的完整登录历史,包括登录时间、持续时间、来源IP等信息。默认按时间倒序排列,最新记录显示在最上方。
- 常用参数:
last -n 10:只显示最近10条记录last -i:显示IP地址而非主机名last reboot:查看系统重启记录
4. 筛选特定用户的登录记录
如果需要查看某个特定用户的登录历史,可以结合who和w命令:
who -u:显示当前登录用户及登录时间w:显示当前登录用户及他们正在执行的命令ac -p:查看用户的总登录时间统计
5. 日志轮转和长期保存
默认情况下,系统日志会定期轮转(通常每周一次),旧日志会被压缩保存。可以查看以下位置获取历史日志:/var/log/auth.log.1(上周的日志)/var/log/auth.log.2.gz(更早的压缩日志)
/var/log/secure,而Debian/Ubuntu使用/var/log/auth.log。
2. 如何实时监控登录日志?
可以使用tail -f /var/log/auth.log命令实时查看日志更新,或者配置logwatch等工具进行邮件告警。
3. 发现可疑登录记录怎么办?
应立即采取以下措施:
- 修改受影响账户的密码
- 检查是否有未授权的用户账户
- 考虑限制特定IP的访问
- 安装fail2ban等工具防止暴力破解
发表评论