目录

 windows日志分析

windows事件日志

日志分析工具

Linux日志分析

---

 windows日志分析

windows事件日志

日志分析工具

Linux日志分析

 rsyrslog.conf中记录了，这些日志文件存储的位置以及存储的内容是关于什么的日志

 其中lastlog比较重要，记录了用户登录的相关信息，查看时需要用lastlog关键字进行查看

 secure记录ssh的失败登录信息

btmp记录登录失败的用户时间、ip需要用lastb命令查看

 

last 命令查看用户登录的时间以及ip信息

 

 who 当前登录

ac 查看用户登录总时长

显示查找/var/log/secure 中匹配关键字"Failed password for root" 的行中，并以空格作为分隔符，匹配查找第11个空格前的字符（此处也就是文本中ip的位置），并显示次数，以倒数排序

grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/;print "$1\n";}'|uniq -c|sort -nr

grep：列出文本中匹配关键字的行

awk：分隔，默认以空格为分隔符，-F可指定以什么分割，'{print $11}' 查看第11个分隔符数据

uniq：去重

-c：显示重复次数

sort：排序

sort -n：以数字排序 sort -r：倒序

more：如果文本数据太多，一次查看不了所有页，more设置显示文本所有页