Ubuntu SSH日志如何查看与分析

查看SSH日志

• 使用journalctl命令（适用于systemd系统）：
  sudo journalctl -u sshd：查看所有SSH服务相关日志。
  可添加参数限制时间范围，如--since "2025-01-01"或--until "2025-01-31"。
• 查看日志文件：
  sudo cat /var/log/auth.log | grep sshd：过滤出SSH相关日志条目。
  sudo tail -f /var/log/auth.log：实时查看最新日志。

分析SSH日志

• 基础命令分析：
  • 统计失败登录尝试：
    sudo grep 'Failed password' /var/log/auth.log | awk '{print $9}' | sort | uniq -c | sort -nr。
  • 查看特定IP的登录记录：
    sudo grep '192.168.1.100' /var/log/auth.log。
  • 分析成功/失败登录：
    sudo grep 'Accepted password' /var/log/auth.log（成功）；
    sudo grep 'Failed password' /var/log/auth.log（失败）。
• 工具分析：
  • Logwatch：生成日志报告，识别异常登录趋势。
  • ELK Stack：用于大规模日志的可视化分析。
• 安全风险识别：
  • 暴力破解：短时间内大量Failed password记录，可结合IP统计封禁。
  • 权限异常：如Authentication refused: bad ownership提示密钥文件权限错误。
  • 配置限制：User not allowed或DenyUsers配置导致的拒绝登录。

注意：日志文件通常需sudo权限访问，敏感信息需妥善保管。