RockyLinux日志安全分析方法（小白也能上手的实战指南）

二、RockyLinux 的核心日志位置

RockyLinux 使用 systemd-journald 和传统的 rsyslog 两种日志系统。主要日志文件位于 /var/log/ 目录下：

• /var/log/messages：系统全局日志（包含内核、服务等）
• /var/log/secure：认证和安全相关日志（如 SSH 登录）
• /var/log/audit/audit.log：审计日志（需启用 auditd 服务）
• /var/log/journal/：二进制格式的 journald 日志

三、常用日志查看命令

以下是一些基础但非常实用的日志查看命令：

1. 查看最近100行安全日志（SSH 登录记录）

sudo tail -n 100 /var/log/secure

2. 实时监控日志变化

sudo journalctl -f# 或者监控 secure 文件sudo tail -f /var/log/secure

3. 搜索特定关键词（如“Failed”）

grep "Failed" /var/log/secure

四、常见安全事件排查场景

场景1：发现大量 SSH 暴力破解

运行以下命令，统计失败登录次数最多的 IP：

grep "Failed password" /var/log/secure | awk '{print $(NF-3)}' | sort | uniq -c | sort -nr | head -10

如果某个 IP 出现数百次失败记录，说明正在遭受暴力破解。建议使用 fail2ban 自动封禁恶意 IP。

场景2：检查是否有异常用户登录

查看所有成功登录记录：

grep "Accepted" /var/log/secure

注意非工作时间、陌生 IP 或 root 用户直接登录的情况，这可能是入侵迹象。

场景3：启用审计日志（高级安全监控）

安装并启动 auditd 服务：

sudo dnf install audit -ysudo systemctl enable --now auditd

编辑 /etc/audit/rules.d/audit.rules 添加监控规则，例如监控敏感文件修改：

-w /etc/passwd -p wa -k identity-w /etc/shadow -p wa -k identity

重启服务后，所有对 /etc/passwd 和 /etc/shadow 的写入或属性更改都会被记录到 /var/log/audit/audit.log 中。

五、自动化日志监控建议

手动分析日志效率低，建议结合以下工具提升 Linux日志监控 能力：

• Logwatch：每日生成日志摘要邮件
• Fail2ban：自动封禁暴力破解 IP
• ELK Stack（Elasticsearch + Logstash + Kibana）：集中化日志分析平台

六、总结

通过本教程，你已经掌握了 RockyLinux日志分析 的基础方法。定期检查 /var/log/secure 和 /var/log/messages 是保障服务器安全的第一步。结合 系统安全审计 工具如 auditd，可以实现更细粒度的监控。记住，安全不是一次性的任务，而是持续的过程。养成良好的 日志安全排查 习惯，能让你在黑客入侵前就发现问题！

提示：生产环境中建议配置远程日志服务器，防止本地日志被攻击者删除。