Przejdź do treści

Centrum Kształcenia Zawodowego i Ustawicznego w Mrągowie

Plik auth.log

wtorek,

Plik auth.log

Plik auth.log w systemach Linux służy do rejestrowania informacji dotyczących mechanizmów uwierzytelniania użytkowników. Zawiera on informacje dotyczące uwierzytelniania użytkowników, takie jak logowania do systemu, wylogowania, oraz inne zdarzenia związane z bezpieczeństwem systemu. Zazwyczaj znajduje się w katalogu /var/log/. Jest to standardowa lokalizacja dla wielu logów systemowych w dystrybucjach Linux opartych na Debianie, takich jak Ubuntu. W niektórych innych dystrybucjach, na przykład tych opartych na Red Hat (jak Fedora czy CentOS), odpowiednikiem auth.log może być plik /var/log/secure.

Plik auth.log jest bardzo ważnym elementem monitorowania bezpieczeństwa systemu i często jest analizowany w przypadku dochodzeń dotyczących bezpieczeństwa. Dostęp do niego jest ograniczony do użytkownika root lub innych użytkowników z odpowiednimi uprawnieniami.

Zawartość pliku auth.log

  • Informacje o próbach logowania do systemu (zarówno udanych, jak i nieudanych).
  • Rejestr działań użytkowników wymagających podniesienia uprawnień (np. użycie sudo).
  • Zapisy o aktywnościach związanych z serwisami sieciowymi, takimi jak SSH.
  • Dane na temat alertów bezpieczeństwa i innych ważnych zdarzeniach związanych z uwierzytelnianiem.

Przykładowy fragment auth.log

Feb 24 10:02:01 myserver CRON[12345]: pam_unix(cron:session): session opened for user root by (uid=0)
Feb 24 10:02:01 myserver CRON[12345]: pam_unix(cron:session): session closed for user root
Feb 24 10:17:01 myserver CRON[12346]: pam_unix(cron:session): session opened for user root by (uid=0)
Feb 24 10:17:01 myserver sshd[12347]: Failed password for invalid user admin from 192.168.1.10 port 22 ssh2
Feb 24 10:17:01 myserver sshd[12348]: Received disconnect from 192.168.1.10 port 22:11: Bye Bye [preauth]

W powyższym fragmencie widać, że:

  • Zostały zarejestrowane sesje cron dla użytkownika root.
  • nastąpiła próba nieudanego logowania na konto admin z adresu IP 192.168.1.10.

Praca z plikiem auth.log

Wyświetlanie zawartości

Aby wyświetlić zawartość auth.log, można skorzystać między innymi z polecenia cat, less lub more. Na przykład:

cat /var/log/auth.log

lub

less /var/log/auth.log

Przeszukiwanie pliku

Aby przeszukać plik auth.log pod kątem konkretnych informacji, można użyć polecenia grep. Na przykład, aby znaleźć wszystkie zapisy dotyczące użytkownika jan, można użyć polecenia:

grep 'jan' /var/log/auth.log

W przypadku bardziej szczegółowego przeszukiwania można użyć wyrażeń regularnych:

sudo grep -E 'student-|ciziu-' /var/log/auth.log

To polecenie zwróci linie z pliku auth.log, które zawierają nazwy użytkowników zaczynające się od "student-" lub "ciziu-". W tym przypadku:

  • grep to narzędzie do wyszukiwania tekstu.
  • -E to opcja pozwalająca na użycie rozszerzonych wyrażeń regularnych (Extended Regular Expressions).
  • 'student-|ciziu-' jest wyrażeniem regularnym, gdzie | działa jak operator alternatywy, szukając wpisów zawierających "student-" lub "ciziu-".
  • /var/log/auth.log to ścieżka do pliku, który jest przeszukiwany.

Artykuł: Światowy Dzień Książki i Praw Autorskich

Światowy Dzień Książki i Praw Autorskich

Artykuł: Hiszpańska przygoda

Hiszpańska przygoda

Artykuł: Certyfikaty bezpieczeństwa dla zasilaczy komputerowych

Certyfikaty bezpieczeństwa dla zasilaczy komputerowych

Artykuł: DRAM Speculative Leadoff

DRAM Speculative Leadoff

Artykuł: Burst Mode DMA

Burst Mode DMA

Nasze technikum

Technik informatyk

Szkoły dla dorosłych

Nasza szkoła

Pełna oferta edukacyjna

Oferta szkoły