如何查看VPS服务器的登录记录?
| 操作系统 |
日志文件 |
查看命令 |
记录内容 |
| Linux |
/var/log/auth.log |
last, lastb |
SSH登录成功/失败记录 |
| Linux |
/var/log/secure |
who, w |
当前登录用户信息 |
| Windows |
事件查看器 |
eventvwr.msc |
登录成功/失败事件 |
| Windows |
安全日志 |
Get-EventLog |
详细的登录审计信息 |
VPS登录记录如何查看?五种方法帮你监控服务器安全
作为服务器管理员,定期查看VPS登录记录是保障服务器安全的重要环节。通过分析登录记录,可以及时发现异常登录行为,防止未授权访问。以下是查看VPS登录记录的详细方法。
主要查看方法汇总
| 方法类型 |
适用系统 |
主要工具 |
查看内容 |
| 系统日志查看 |
Linux/Windows |
last, eventvwr |
历史登录记录 |
| 实时监控 |
Linux/Windows |
who, w, Get-Process |
当前登录用户 |
| 第三方工具 |
Linux/Windows |
Fail2ban, Logwatch |
安全审计报告 |
| 远程连接日志 |
Linux/Windows |
SSH日志, RDP日志 |
连接详细信息 |
详细操作步骤
方法一:Linux系统使用last命令查看
操作说明:last命令是Linux系统中最常用的查看登录记录的工具,能够显示系统最近的所有登录会话信息。
使用工具提示:该命令需要root或具有读取/var/log/wtmp文件权限的用户执行。
# 查看最近登录记录
last
输出示例:
username pts/0 192.168.1.100 Fri Oct 25 14:30:25 2025 still logged in
username pts/1 203.0.113.45 Thu Oct 24 09:15:33 2025 - 09:45:22 (00:29)
reboot system boot 5.4.0-42-generic Thu Oct 24 09:10:15 2025 still running
查看失败的登录尝试
lastb
查看指定用户的登录记录
last username
方法二:查看Linux系统认证日志
操作说明:Linux系统的认证日志文件记录了详细的SSH登录信息,包括成功和失败的登录尝试。
使用工具提示:不同Linux发行版的日志文件位置可能有所不同。
# Ubuntu/Debian系统查看认证日志
sudo tail -f /var/log/auth.log
CentOS/RHEL系统查看安全日志
sudo tail -f /var/log/secure
搜索SSH登录成功记录
sudo grep "Accepted" /var/log/auth.log
搜索SSH登录失败记录
sudo grep "Failed" /var/log/auth.log
查看特定IP的登录尝试
sudo grep "192.168.1.100" /var/log/auth.log
方法三:Windows系统使用事件查看器
操作说明:Windows系统通过事件查看器记录详细的登录审计信息,包括登录成功和失败事件。
使用工具提示:需要管理员权限访问事件查看器。
# 打开事件查看器
eventvwr.msc
或者通过PowerShell查看安全日志
Get-EventLog -LogName Security -InstanceId 4624,4625 -Newest 20
查看远程桌面连接日志
Get-EventLog -LogName "Windows PowerShell" | Where-Object {$_.Message -like "RDP"}
方法四:实时监控当前登录用户
操作说明:实时查看当前登录到系统的用户信息,及时发现异常连接。
使用工具提示:这些命令可以实时反映系统的登录状态。
# 查看当前登录用户
who
查看更详细的登录信息
w
查看所有登录会话
users
查看SSH连接状态
sudo netstat -tnpa | grep :22
方法五:使用第三方监控工具
操作说明:安装配置专业的监控工具,提供更全面的安全审计功能。
使用工具提示:Fail2ban可以自动封禁恶意IP,Logwatch提供每日安全报告。
# 安装Fail2ban(Ubuntu/Debian)
sudo apt update
sudo apt install fail2ban
配置Fail2ban监控SSH
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local
启用SSH监控
[sshd]
enabled = true
port = ssh
logpath = /var/log/auth.log
maxretry = 3
bantime = 3600
常见问题及解决方案
| 问题 |
原因 |
解决方案 |
| last命令显示”wtmp begins”后无记录 |
日志文件被清空或系统刚重装 |
检查系统运行时间,等待新的登录记录生成 |
| 无法查看/var/log/secure文件 |
权限不足或文件不存在 |
使用sudo权限,确认系统类型和日志路径 |
| 事件查看器找不到登录事件 |
审计策略未启用 |
启用”审核登录事件”组策略设置 |
| SSH登录记录不完整 |
SSH配置未记录详细日志 |
修改SSH配置启用详细日志记录 |
| 大量失败登录尝试 |
暴力破解攻击 |
安装Fail2ban,修改SSH端口,使用密钥认证 |
通过以上五种方法,您可以全面监控VPS的登录情况,及时发现并处理安全威胁。建议定期检查登录记录,并结合其他安全措施,构建多层次的服务器安全防护体系。
发表评论