香港服务器SSH日志分析方法

香港服务器SSH日志分析方法
### 一、SSH日志基础认知
香港服务器（基于Linux系统）的SSH日志主要存储在/var/log/auth.log（Ubuntu/Debian）或/var/log/secure（CentOS/RHEL）中，记录了SSH登录尝试（成功/失败）、认证过程、服务状态等关键信息，是排查SSH问题、检测安全威胁的核心依据。
### 二、基础日志查看方法
1. 实时监控最新日志：使用tail -f命令实时查看SSH相关日志，便于快速捕捉异常事件（如暴力破解尝试）。
示例：sudo tail -f /var/log/auth.log | grep sshd（过滤出sshd进程的日志）。
2. 查看完整日志文件：用cat、less或more命令查看完整日志，适合离线分析历史记录。
示例：sudo less /var/log/auth.log（按/键可搜索关键词，如“Failed password”）。
3. 过滤特定事件：通过grep命令筛选关键事件，缩小分析范围。
示例：sudo grep "Accepted password" /var/log/auth.log（查看成功登录记录）、sudo grep "Invalid user" /var/log/auth.log（查看无效用户尝试）。
### 三、常用日志分析技巧
1. 统计失败登录次数：通过grep+wc -l统计失败登录的总次数，快速判断是否存在暴力破解风险。
示例：sudo grep "Failed password" /var/log/auth.log | wc -l。
2. 提取失败IP地址：结合awk提取失败登录的来源IP，识别高频攻击源。
示例：sudo grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr（按出现次数降序排列IP）。
3. 分析成功登录行为：检查成功登录的时间、用户、IP，确认是否有未授权访问。
示例：sudo grep "Accepted password" /var/log/auth.log | awk '{print $1,$2,$3,$9,$11}'（输出时间、用户名、IP）。
4. 定位认证失败原因：通过具体错误信息判断失败类型（如密码错误、公钥认证失败、用户不存在）。
示例：Invalid user xxx（用户不存在）、Permission denied (publickey)（公钥认证失败）、Failed password for xxx（密码错误）。
### 四、日志分析工具推荐
1. logwatch：自动化日志报告工具，可生成每日/每周SSH登录报告，包含成功/失败次数、来源IP等统计信息。
安装与使用：sudo apt install logwatch（Ubuntu/Debian）、sudo yum install logwatch（CentOS/RHEL）；配置每日邮件报告：sudo logwatch --output mail --mailto admin@example.com --service sshd。
2. fail2ban：入侵检测系统，监控SSH日志并自动封禁频繁失败的IP地址（如1小时内失败5次，封禁1小时）。
配置步骤：sudo apt install fail2ban（Ubuntu/Debian）、sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local（备份默认配置）；编辑jail.local，启用SSH监控：[sshd] enabled = true maxretry = 5 bantime = 3600；重启服务：sudo systemctl restart fail2ban。
3. grep/awk/sed组合：灵活处理日志数据，提取关键字段（如时间、IP、用户名），适用于自定义分析场景。
示例：sudo awk '/sshd/ && /Failed password/ {print $1,$3,$9,$11}' /var/log/auth.log（提取时间、主机名、用户名、IP）。
### 五、安全监控与异常识别
1. 检测暴力破解：短时间内（如10分钟内）同一IP出现多次失败登录（如超过5次），需立即采取措施（如封禁IP、修改密码）。
示例命令：sudo grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | awk '$1 > 5 {print $2,$1}'（输出失败次数超过5次的IP及次数）。
2. 识别异常登录时间：正常用户通常在工作时间登录（如9:00-18:00），若在凌晨3:00出现登录记录，需警惕未授权访问。
示例命令：sudo grep "Accepted password" /var/log/auth.log | awk '{print $1,$2,$3,$9,$11}' | grep "03:"（筛选凌晨3点的成功登录）。
3. 检查未授权用户：查看是否有非授权用户（如“test”、“guest”）的登录记录，若有则需立即删除用户并检查系统完整性。
示例命令：sudo grep "Accepted password" /var/log/auth.log | awk '{print $9}' | grep -E "^(test|guest)$"。