アクセスログ解析(ssh編)

Pocket
LINEで送る

サーバ管理をしていると、定期的にアクセスログを見たりすることがあります。
sshでのアクセスログの確認方法は次のとおり。(環境はRed Hat系Linuxです。)

sshでログインした or された時のログ確認
  1. ログファイルがあるとこまで移動する。(この環境では/var/log配下にログが格納されている。)
  2. Acceptedをキーに検索
  3. $ cd /var/log
    $ sudo grep “Accepted” secure*

  4. ログは次のように出力される。
  5. secure:Dec 10 15:01:52 コンピュータ名 sshd[20738]: Accepted publickey for ユーザ名 from xxx.xxx.xxx.xxx port 53874 ssh2
    secure:Dec 10 15:02:22 コンピュータ名 sshd[20751]: Accepted publickey for ユーザ名 from xxx.xxx.xxx.xxx port 53877 ssh2
    secure:Dec 10 15:02:22 コンピュータ名 sshd[20750]: Accepted publickey for ユーザ名 from xxx.xxx.xxx.xxx port 53876 ssh2
    secure:Dec 10 16:20:45 コンピュータ名 sshd[20827]: Accepted publickey for ユーザ名 from xxx.xxx.xxx.xxx port 57652 ssh2
    secure:Dec 10 16:21:04 コンピュータ名 sshd[20839]: Accepted publickey for ユーザ名 from xxx.xxx.xxx.xxx port 57653 ssh2
    secure:Dec 10 16:21:04 コンピュータ名 sshd[20840]: Accepted publickey for ユーザ名 from xxx.xxx.xxx.xxx port 57654 ssh2
    secure:Dec 12 12:17:27 コンピュータ名 sshd[23707]: Accepted publickey for ユーザ名 from xxx.xxx.xxx.xxx port 52155 ssh2
    secure-20131117:Nov 13 21:10:24 コンピュータ名 sshd[9647]: Accepted password for ユーザ名 from xxx.xxx.xxx.xxx port 55165 ssh2
    secure-20131117:Nov 13 21:10:38 コンピュータ名 sshd[9664]: Accepted publickey for ユーザ名 from xxx.xxx.xxx.xxx port 55166 ssh2
    secure-20131117:Nov 13 21:13:07 コンピュータ名 sshd[9733]: Accepted publickey for ユーザ名 from xxx.xxx.xxx.xxx port 55175 ssh2
    secure-20131124:Nov 19 14:36:36 コンピュータ名 sshd[18926]: Accepted password for ユーザ名 from yyy.yyy.yyy.yyy port 3296 ssh2

※ xxx.xxx.xxx.xxx/yyy.yyy.yyy.yyyの箇所に見知らぬIPアドレスがあったら、不正ログインされている可能性あり!

sshでログイン失敗した時のログ確認

$ grep -E “Failed|Invalid” secure*

 

おすすめ書籍

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください