如何使用SecureCRT进行Linux日志分析
导读:使用 SecureCRT 进行 Linux 日志分析 一 连接与会话准备 建立连接:在 SecureCRT 中新建会话,填写目标服务器的 IP、端口、用户名 与 密码,协议选择 SSH 并保存。为便于回溯,建议开启会话日志。 开启自动会话...
使用 SecureCRT 进行 Linux 日志分析
一 连接与会话准备
- 建立连接:在 SecureCRT 中新建会话,填写目标服务器的 IP、端口、用户名 与 密码,协议选择 SSH 并保存。为便于回溯,建议开启会话日志。
- 开启自动会话日志:进入 Options → Global Options → Session Options → Default Session → Logon Actions,勾选 Start logon 并设置 Log file 路径与命名规则,例如 %h-%d-%H-%s.log(含义:%h 主机名、%d 日期、%H 小时、%s 会话名)。需要时可在 View → View Log 打开会话日志查看器进行检索。
- 提升回溯能力:在 Options → Global Options → Terminal → Emulation 增加 Scroll back(回滚缓冲区)行数,例如 50000 行,便于在窗口内查看更长的历史输出。
- 多机协同:利用 标签页 管理多个会话,或使用 按钮栏 快速执行常用命令,提高对比排查效率。
二 Linux 端常用日志与定位路径
- 系统日志:
- /var/log/syslog(Debian/Ubuntu 等)
- /var/log/messages(CentOS/RHEL 等)
- 认证与安全:
- /var/log/auth.log(Debian/Ubuntu)或 /var/log/secure(CentOS/RHEL)
- /var/log/fail2ban.log(Fail2Ban 记录)
- Web 服务:
- /var/log/nginx/ 或 /var/log/httpd/(access.log、error.log)
- 数据库:
- /var/log/mysql/error.log
- 审计:
- /var/log/audit/audit.log
- systemd 系统日志:使用 journalctl 查询(如按时间、按启动、按服务过滤)。
三 高效分析命令与用法
- 实时跟踪:
- 查看系统日志尾部并持续输出:
tail -f /var/log/syslog - 仅看最近 N 行:
tail -n 200 /var/log/syslog | less
- 查看系统日志尾部并持续输出:
- 关键字过滤与上下文:
- 在最后 N 行中筛选关键词:
tail -n 1000 /var/log/auth.log | grep "Failed password" - 显示匹配行的上下文:
grep -C 10 "error" app.log(前后各 10 行)
- 在最后 N 行中筛选关键词:
- 时间与范围查询(journalctl):
- 指定时间窗口:
journalctl --since "2025-12-16 09:00:00" --until "2025-12-16 10:00:00" - 当前启动日志:
journalctl -b;更详细输出:journalctl -xe
- 指定时间窗口:
- 统计与去重:
- 统计失败登录的 IP 与次数:
awk '/Failed password/ { print $11} ' /var/log/auth.log | sort | uniq -c | sort -nr
- 统计失败登录的 IP 与次数:
- 分页与检索:
- 大文件浏览:
less /var/log/syslog;在 less 中按 / 搜索,按 n/N 跳转。
- 大文件浏览:
四 实战案例
- SSH 暴力破解排查
- 实时观察失败登录:
tail -f /var/log/auth.log | grep "Failed password" - 统计 Top 来源 IP:
awk '/Failed password/ { print $11} ' /var/log/auth.log | sort | uniq -c | sort -nr | head - 结合时间窗口:
journalctl --since "2025-12-16 00:00:00" | grep "Failed password" - 处置建议:确认攻击后,使用 fail2ban 封禁,并检查 /var/log/fail2ban.log。
- 实时观察失败登录:
- Web 500 错误定位
- 实时跟踪错误日志:
tail -f /var/log/nginx/error.log - 关联访问日志定位来源:
tail -f /var/log/nginx/access.log | grep "500" - 若需更长时间回溯,先拷贝旧日志到临时目录再分析,避免直接在大文件上反复 grep。
- 实时跟踪错误日志:
五 效率与安全建议
- 会话记录与审计:开启 SecureCRT 会话日志,统一命名并定期归档,便于审计与复盘。
- 输出可读性:在 会话选项 → 外观 中调整 字体 与 颜色方案,关键输出高亮,减少误读。
- 回溯能力:适当增大 Scroll back,避免长日志被窗口截断。
- 批量操作:多台服务器对比时,使用 多标签页 与 按钮栏 快速下发常用命令;复杂流程可用 TCL/TK 脚本 自动化。
- 风险控制:避免在生产环境直接执行
cat /var/log/*等全量输出;必要时先grep或less过滤,减少 I/O 与终端卡顿。
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: 如何使用SecureCRT进行Linux日志分析
本文地址: https://pptw.com/jishu/772778.html