Ubuntu系统Telnet日志如何查看

Ubuntu 查看 Telnet 日志的常用方法

一 系统日志与认证日志检索

• 使用 journalctl 检索 Telnet 相关日志（适用于 systemd 系统）：
  • 查看全部：sudo journalctl | grep “telnet”
  • 按时间范围：sudo journalctl --since “2025-04-01” --until “2025-04-30” | grep “telnet”
  • 实时跟踪：sudo journalctl -f | grep “telnet”
• 查看 /var/log/auth.log（认证类日志，常见 Telnet 登录尝试与失败记录）：
  • 全部：sudo cat /var/log/auth.log | grep “telnet”
  • 最近 N 条：sudo tail -n 50 /var/log/auth.log | grep “telnet”
  • 实时跟踪：sudo tail -f /var/log/auth.log | grep “telnet”
• 查看 /var/log/syslog（系统综合日志，部分环境 Telnet 也会被记录）：
  • 全部：sudo cat /var/log/syslog | grep “telnet”
  • 最近 N 条：sudo tail -n 50 /var/log/syslog | grep “telnet”
• 说明：较新的 Ubuntu 版本通常将服务日志写入 journal 与 /var/log/auth.log；部分老版本或特定配置下更多记录在 /var/log/syslog。

二 按服务查看 inetd xinetd 日志

• 若 Telnet 由 inetd/xinetd 托管，可直接查看其服务日志：
  • 查看服务日志：sudo journalctl -u inetd 或 sudo journalctl -u xinetd
  • 在 xinetd 配置中可开启更详细日志，例如在 /etc/xinetd.d/telnet 中设置：
    • log_on_failure USERID
  • 修改后重启：sudo systemctl restart xinetd
  • 之后可在 /var/log/syslog 或 journal 中看到类似记录：
    • xinetd[1234]: connect from 192.168.1.100
    • in.telnetd[1234]: Connection closed by 192.168.1.100

三 网络层抓包排查

• 使用 tcpdump 实时抓取 23/TCP 端口流量（需要 root 权限）：
  • 抓取所有 Telnet 会话：sudo tcpdump -i any port 23
  • 抓取指定来源 IP：sudo tcpdump -i any host 192.168.1.100 and port 23
• 提示：抓包会产生较多输出，建议按需过滤并限制时间窗口。

四 实用排查命令速查

• 最近 100 条含 telnet 的 auth 日志：sudo tail -n 100 /var/log/auth.log | grep -i telnet
• 过去 30 分钟系统日志中的 telnet：sudo journalctl --since “30 min ago” | grep -i telnet
• 查看 xinetd 最近日志：sudo journalctl -u xinetd -n 200 | grep -i telnet
• 按 IP 过滤 syslog 中的 telnet：sudo grep “192.168.1.100” /var/log/syslog | grep -i telnet

五 注意事项

• 需要 sudo 权限读取日志文件与系统日志，部分环境日志轮转后需检查 /var/log/auth.log.1、/var/log/syslog.1 等归档文件。
• Telnet 明文传输不安全，建议仅在内网测试环境使用；生产环境优先采用 SSH 并配合集中化日志审计。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！