如何查看和分析VPS连接记录?
| 时间范围 |
连接IP地址 |
用户名 |
连接状态 |
连接时长 |
登录方式 |
| 2024-10-28 14:23:11 |
192.168.1.105 |
root |
成功 |
2小时15分 |
SSH密钥 |
| 2024-10-28 16:45:32 |
203.0.113.78 |
admin |
失败 |
- |
密码登录 |
| 2024-10-29 09:12:45 |
198.51.100.23 |
user1 |
成功 |
5小时40分 |
SSH密码 |
| 2024-10-29 11:30:15 |
192.168.1.110 |
root |
成功 |
1天2小时 |
SSH密钥 |
| 2024-10-30 08:55:20 |
203.0.113.156 |
admin |
失败 |
- |
密码登录 |
VPS连接记录怎么查看?从基础查询到高级分析的完整指南
VPS连接记录是服务器安全管理的重要组成部分,通过分析这些记录可以有效监控服务器访问情况,及时发现异常登录行为。本文将详细介绍VPS连接记录的查看方法和分析技巧。
主要查看方法概览
| 方法类型 |
适用系统 |
主要工具 |
记录位置 |
| 基础查询 |
Linux/Unix |
last、who、w |
/var/log/wtmp、/var/run/utmp |
| 详细日志 |
Linux |
/var/log/secure、/var/log/auth.log |
/var/log/目录 |
| 实时监控 |
多平台 |
netstat、ss |
系统内存 |
| 历史分析 |
Linux |
auditd |
/var/log/audit/ |
分步骤操作指南
步骤一:基础连接记录查询
操作说明:使用系统内置命令快速查看最近的登录记录
使用工具提示:last命令、who命令、w命令
# 查看最近的登录记录
last
输出示例:
root pts/0 192.168.1.105 Fri Oct 28 14:23 still logged in
admin pts/1 203.0.113.78 Fri Oct 28 16:45 - 16:45 (00:00)
user1 pts/2 198.51.100.23 Sat Oct 29 09:12 - 14:52 (05:40)
查看当前登录用户
who
输出示例:
root pts/0 2024-10-28 14:23 (192.168.1.105)
查看系统负载和登录用户详情
w
步骤二:详细认证日志分析
操作说明:查看系统认证日志获取详细的连接信息
使用工具提示:tail命令、grep命令、journalctl命令
# 对于CentOS/RHEL系统
tail -f /var/log/secure
grep "Accepted password" /var/log/secure
grep "Failed password" /var/log/secure
对于Ubuntu/Debian系统
tail -f /var/log/auth.log
grep "sshd" /var/log/auth.log
使用systemd日志系统
journalctl -u ssh.service --since "1 hour ago"
journalctl COMM=sshd
步骤三:实时连接监控
操作说明:监控当前的网络连接状态
使用工具提示:netstat命令、ss命令、lsof命令
# 查看当前SSH连接
netstat -tnpa | grep :22
输出示例:
tcp 0 0 192.168.1.100:22 192.168.1.105:54321 ESTABLISHED 1254/sshd: root
使用更现代的ss命令
ss -tnp | grep :22
查看SSH进程的详细连接
lsof -i :22
步骤四:高级审计配置
操作说明:配置系统审计服务进行深度监控
使用工具提示:auditd服务、ausearch命令、aureport命令
# 安装auditd(如未安装)
sudo apt-get install auditd # Ubuntu/Debian
sudo yum install audit # CentOS/RHEL
查看SSH连接审计规则
auditctl -l | grep ssh
搜索SSH相关审计事件
ausearch -m USERLOGIN --start recent
ausearch -ts today -k sshlogin
生成连接报告
aureport -l --summary
常见问题及解决方案
| 问题 |
原因 |
解决方案 |
| 无法查看历史登录记录 |
/var/log/wtmp文件被清空或损坏 |
使用lastb命令查看失败记录,或检查日志轮转配置 |
| 认证日志中无SSH记录 |
SSH服务日志配置问题 |
检查/etc/ssh/sshd_config中的SyslogFacility和LogLevel设置 |
| 连接记录时间不准确 |
系统时区配置错误 |
使用timedatectl命令检查和设置正确时区 |
| 大量失败登录尝试 |
暴力破解攻击 |
配置fail2ban、修改SSH端口、设置强密码策略 |
| 实时监控显示异常IP |
服务器被入侵或未授权访问 |
立即断开连接,检查系统完整性,加强安全配置 |
通过以上方法和工具,您可以全面掌握VPS的连接情况,及时发现和处理安全问题。建议定期检查连接记录,并建立相应的监控告警机制。
发表评论