介绍

/var/log/wtmp：记录登录进入、退出、数据交换、关机和重启，即last。

/var/log/cron：记录与定时任务相关的日志信息。

/var/log/messages：记录系统启动后的信息和错误日志。

/var/log/apache2/access.log：记录Apache的访问日志。

/var/log/auth.log：记录系统授权信息，包括用户登录和使用的权限机制等。

/var/log/userlog：记录所有等级用户信息的日志。

/var/log/xferlog（vsftpd.log）：记录Linux FTP日志。

/var/log/lastlog：记录登录的用户，可以使用命令lastlog查看。

/var/log/secure：记录大多数应用输入的账号与密码，以及登录成功与否。

/var/log/faillog：记录登录系统不成功的账号信息。

步骤

进入日志目录，cd /var/log
对服务器的ssh爆破行为，对应查看secure日志文件，cat secure-20220721 |grep Failed

输入命令grep "Failed password" /var/log/secure-20220721 |grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c查看爆破的IP

输入命令grep "Failed password" /var/log/secure-20220721 |perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr查看爆破的用户

查看最近用户的登陆情况grep "Accepted " /var/log/secure* | awk '{print $1,$2,$3,$9,$11}'

root账户在1月13 日 21:57:56 登录了该服务器，在爆破的时间范围内（21:51:32——21:58:31）
wxiaoge账户在 1月14 日 00:47:33登录了该服务器