在当今网络环境中,服务器安全至关重要。作为企业级 Linux 发行版,RockyLinux 提供了强大的日志系统,帮助管理员追踪系统行为、识别异常活动并防范潜在攻击。本教程将手把手教你如何进行 RockyLinux日志分析,即使你是 Linux 新手,也能轻松掌握。
一、为什么要做日志安全分析?
日志记录了系统运行过程中的关键信息,包括用户登录、服务启动、文件修改、网络连接等。通过分析这些日志,你可以:
发现未授权的登录尝试 识别可疑进程或命令执行 追踪系统配置变更 满足合规性要求(如等保、ISO27001)
二、RockyLinux 的核心日志位置
RockyLinux 使用
systemd-journald和传统的
rsyslog两种日志系统。主要日志文件位于
/var/log/目录下:
/var/log/messages:系统全局日志(包含内核、服务等)
/var/log/secure:认证和安全相关日志(如 SSH 登录)
/var/log/audit/audit.log:审计日志(需启用 auditd 服务)
/var/log/journal/:二进制格式的 journald 日志
三、常用日志查看命令
以下是一些基础但非常实用的日志查看命令:
1. 查看最近100行安全日志(SSH 登录记录)
sudo tail -n 100 /var/log/secure
2. 实时监控日志变化
sudo journalctl -f# 或者监控 secure 文件sudo tail -f /var/log/secure
3. 搜索特定关键词(如“Failed”)
grep "Failed" /var/log/secure
四、常见安全事件排查场景
场景1:发现大量 SSH 暴力破解
运行以下命令,统计失败登录次数最多的 IP:
grep "Failed password" /var/log/secure | awk '{print $(NF-3)}' | sort | uniq -c | sort -nr | head -10 如果某个 IP 出现数百次失败记录,说明正在遭受暴力破解。建议使用
fail2ban自动封禁恶意 IP。
场景2:检查是否有异常用户登录
查看所有成功登录记录:
grep "Accepted" /var/log/secure
注意非工作时间、陌生 IP 或 root 用户直接登录的情况,这可能是入侵迹象。
场景3:启用审计日志(高级安全监控)
安装并启动 auditd 服务:
sudo dnf install audit -ysudo systemctl enable --now auditd
编辑
/etc/audit/rules.d/audit.rules添加监控规则,例如监控敏感文件修改:
-w /etc/passwd -p wa -k identity-w /etc/shadow -p wa -k identity
重启服务后,所有对
/etc/passwd和
/etc/shadow的写入或属性更改都会被记录到
/var/log/audit/audit.log中。
五、自动化日志监控建议
手动分析日志效率低,建议结合以下工具提升 Linux日志监控 能力:
Logwatch:每日生成日志摘要邮件 Fail2ban:自动封禁暴力破解 IP ELK Stack(Elasticsearch + Logstash + Kibana):集中化日志分析平台六、总结
通过本教程,你已经掌握了 RockyLinux日志分析 的基础方法。定期检查
/var/log/secure和
/var/log/messages是保障服务器安全的第一步。结合 系统安全审计 工具如 auditd,可以实现更细粒度的监控。记住,安全不是一次性的任务,而是持续的过程。养成良好的 日志安全排查 习惯,能让你在黑客入侵前就发现问题!
提示:生产环境中建议配置远程日志服务器,防止本地日志被攻击者删除。
