一、Windows系统
通过windows日志查看器查看系统登陆日志。参考链接:
https://bypass007.github.io/Emergency-Response-Notes/LogAnalysis/%E7%AC%AC1%E7%AF%87%EF%BC%9AWindow%E6%97%A5%E5%BF%97%E5%88%86%E6%9E%90.html
https://www.cnblogs.com/17bdw/p/10312918.html
可结合微软开发的日志分析工具Log Parser,官方下载链接:
https://www.microsoft.com/en-us/download/details.aspx?id=24659
二、Linux系统
通过lastlog、last查找登录成功记录,lastb查找登录失败记录,检查系统是否存在异常登录。
查看近期登录成功账号和IP
Ubuntu系统输入如下命令:
grep 'Accepted ' /var/log/auth* | awk '{print $1,$2,$3,$9,$11}'
CentOS系统输入如下命令::
grep 'Accepted ' /var/log/secure* | awk '{print $1,$2,$3,$9,$11}'
查看本月的远程登录成功IP及统计其次数输入如下命令:
last | awk '{ print $3}' | sort | uniq -c | sort -n
查看本月的远程登录失败IP及统计其次数输入如下命令:
lastb | awk '{ print $3}' | sort | uniq -c | sort -n
查看上一月的远程登录失败IP及统计其次数输入如下命令(btmp.1需替换具体上个月日志文件):
lastb -f /var/log/btmp.1 | awk '{ print $3}' | sort | uniq -c | sort -n
参考链接:
https://bypass007.github.io/Emergency-Response-Notes/LogAnalysis/%E7%AC%AC2%E7%AF%87%EF%BC%9ALinux%E6%97%A5%E5%BF%97%E5%88%86%E6%9E%90.html