一、Windows系统

通过windows日志查看器查看系统登陆日志。参考链接：

https://bypass007.github.io/Emergency-Response-Notes/LogAnalysis/%E7%AC%AC1%E7%AF%87%EF%BC%9AWindow%E6%97%A5%E5%BF%97%E5%88%86%E6%9E%90.html

https://www.cnblogs.com/17bdw/p/10312918.html

可结合微软开发的日志分析工具Log Parser，官方下载链接：

https://www.microsoft.com/en-us/download/details.aspx?id=24659

二、Linux系统

通过lastlog、last查找登录成功记录，lastb查找登录失败记录，检查系统是否存在异常登录。

查看近期登录成功账号和IP

Ubuntu系统输入如下命令:

grep 'Accepted ' /var/log/auth* | awk '{print $1,$2,$3,$9,$11}'

CentOS系统输入如下命令::

grep 'Accepted ' /var/log/secure* | awk '{print $1,$2,$3,$9,$11}'

查看本月的远程登录成功IP及统计其次数输入如下命令:

last | awk '{ print $3}' | sort | uniq -c | sort -n

查看本月的远程登录失败IP及统计其次数输入如下命令:

lastb | awk '{ print $3}' | sort | uniq -c | sort -n

查看上一月的远程登录失败IP及统计其次数输入如下命令（btmp.1需替换具体上个月日志文件）:

lastb -f /var/log/btmp.1 | awk '{ print $3}' | sort | uniq -c | sort -n

参考链接：

https://bypass007.github.io/Emergency-Response-Notes/LogAnalysis/%E7%AC%AC2%E7%AF%87%EF%BC%9ALinux%E6%97%A5%E5%BF%97%E5%88%86%E6%9E%90.html