一、为什么需要关注Linux系统安全日志？

Linux系统安全日志记录了所有与系统安全相关的重要事件，包括：

• 用户登录/登出记录
• sudo权限使用情况
• SSH访问日志
• 系统账户变更
• 可疑进程活动

定期检查这些日志可以帮助管理员及时发现安全威胁，预防潜在的攻击。

二、5种查看Linux安全日志的核心方法

1. 使用journalctl查看系统日志

现代Linux系统通常使用systemd，其日志可通过journalctl命令查看：

# 查看所有日志
journalctl

# 查看安全相关日志
journalctl -p err..alert

2. 分析/var/log/secure文件

这是记录用户认证信息的主要日志文件：

tail -f /var/log/secure
grep "Failed password" /var/log/secure

3. 检查/var/log/auth.log

在Debian/Ubuntu系统中，认证日志通常记录在此：

cat /var/log/auth.log | grep -i "fail"

4. 使用last命令查看登录历史

快速查看用户登录情况：

last
lastb # 查看失败的登录尝试

5. 高级工具：auditd审计系统

专业的安全审计工具，提供详细的安全事件记录：

# 安装auditd
yum install auditd # CentOS
apt install auditd # Ubuntu

# 查看审计日志
ausearch -m USER_LOGIN

三、安全日志分析实战技巧

1. 识别可疑登录尝试

grep "Invalid user" /var/log/secure
grep "Failed password" /var/log/secure

2. 监控sudo权限使用

grep "sudo:" /var/log/secure

3. 创建自定义日志监控脚本

#!/bin/bash
LOG_FILE="/var/log/secure"
TODAY=$(date +"%b %d")

# 统计今天的失败登录
FAILED_LOGINS=$(grep "$TODAY" $LOG_FILE | grep "Failed password" | wc -l)

echo "今日失败登录次数: $FAILED_LOGINS"

四、日志管理最佳实践

• 启用日志轮转(logrotate)防止日志文件过大
• 设置远程日志服务器集中管理多台服务器日志
• 配置日志监控告警，实时发现安全问题
• 定期备份重要日志文件