サーバ管理をしていると、定期的にアクセスログを見たりすることがあります。
sshでのアクセスログの確認方法は次のとおり。(環境はRed Hat系Linuxです。)
- ログファイルがあるとこまで移動する。(この環境では/var/log配下にログが格納されている。)
- Acceptedをキーに検索
- ログは次のように出力される。
$ cd /var/log
$ sudo grep “Accepted” secure*
secure:Dec 10 15:01:52 コンピュータ名 sshd[20738]: Accepted publickey for ユーザ名 from xxx.xxx.xxx.xxx port 53874 ssh2
secure:Dec 10 15:02:22 コンピュータ名 sshd[20751]: Accepted publickey for ユーザ名 from xxx.xxx.xxx.xxx port 53877 ssh2
secure:Dec 10 15:02:22 コンピュータ名 sshd[20750]: Accepted publickey for ユーザ名 from xxx.xxx.xxx.xxx port 53876 ssh2
secure:Dec 10 16:20:45 コンピュータ名 sshd[20827]: Accepted publickey for ユーザ名 from xxx.xxx.xxx.xxx port 57652 ssh2
secure:Dec 10 16:21:04 コンピュータ名 sshd[20839]: Accepted publickey for ユーザ名 from xxx.xxx.xxx.xxx port 57653 ssh2
secure:Dec 10 16:21:04 コンピュータ名 sshd[20840]: Accepted publickey for ユーザ名 from xxx.xxx.xxx.xxx port 57654 ssh2
secure:Dec 12 12:17:27 コンピュータ名 sshd[23707]: Accepted publickey for ユーザ名 from xxx.xxx.xxx.xxx port 52155 ssh2
secure-20131117:Nov 13 21:10:24 コンピュータ名 sshd[9647]: Accepted password for ユーザ名 from xxx.xxx.xxx.xxx port 55165 ssh2
secure-20131117:Nov 13 21:10:38 コンピュータ名 sshd[9664]: Accepted publickey for ユーザ名 from xxx.xxx.xxx.xxx port 55166 ssh2
secure-20131117:Nov 13 21:13:07 コンピュータ名 sshd[9733]: Accepted publickey for ユーザ名 from xxx.xxx.xxx.xxx port 55175 ssh2
secure-20131124:Nov 19 14:36:36 コンピュータ名 sshd[18926]: Accepted password for ユーザ名 from yyy.yyy.yyy.yyy port 3296 ssh2
※ xxx.xxx.xxx.xxx/yyy.yyy.yyy.yyyの箇所に見知らぬIPアドレスがあったら、不正ログインされている可能性あり!
$ grep -E “Failed|Invalid” secure*
