RockyLinux安全日志分析（新手也能掌握的系统日志审计与入侵排查指南）

一、什么是 secure 日志？

在 RockyLinux（以及 CentOS、RHEL 等 RHEL 系发行版）中，/var/log/secure 是由 rsyslog 服务管理的核心安全日志文件。它主要记录以下内容：

• SSH 登录成功或失败
• 用户使用 su 或 sudo 切换权限
• PAM（Pluggable Authentication Modules）相关事件
• 其他涉及系统认证的日志

二、查看 secure 日志的基本命令

首先，你需要有 root 权限或 sudo 权限才能读取该日志。常用命令如下：

# 查看最近10行日志sudo tail -n 10 /var/log/secure# 实时监控日志（按 Ctrl+C 退出）sudo tail -f /var/log/secure# 搜索包含 "Failed password" 的行（常见暴力破解特征）sudo grep "Failed password" /var/log/secure# 统计某个IP的失败登录次数sudo grep "Failed password" /var/log/secure | awk '{print $(NF-3)}' | sort | uniq -c | sort -nr

三、典型安全事件分析案例

假设你发现服务器响应变慢，怀疑被暴力破解。你可以通过以下步骤进行Linux日志监控：

1. 检查是否有大量失败登录记录
2. 定位攻击源 IP
3. 使用防火墙（如 firewalld）封禁该 IP

例如，执行以下命令找出前5个最频繁尝试登录的 IP：

sudo grep "Failed password" /var/log/secure \| awk '{print $(NF-3)}' \| sort \| uniq -c \| sort -nr \| head -5

输出可能类似：

128 192.168.10.55 97 203.0.113.100 45 198.51.100.22 ...

此时可使用 firewall-cmd 封禁恶意 IP：

sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="203.0.113.100" reject'sudo firewall-cmd --reload

四、自动化日志分析建议

对于生产环境，建议配置日志轮转（logrotate）避免日志过大，并考虑使用工具如 fail2ban 自动封禁暴力破解 IP。安装 fail2ban 非常简单：

sudo dnf install -y fail2bansudo systemctl enable --now fail2ban

默认配置已能保护 SSH 服务，大幅降低人工干预需求。

五、总结

通过本教程，你应该已经掌握了 RockyLinux安全日志分析 的基础方法。定期检查 /var/log/secure 不仅有助于发现潜在威胁，还能提升你的 系统日志审计 能力。记住，安全不是一次性的任务，而是持续的过程。结合 secure日志排查 与自动化工具，你能更高效地守护服务器安全。

© 2024 Linux 安全实践指南 | 关键词：RockyLinux安全日志分析, 系统日志审计, Linux日志监控, secure日志排查