标签: logging ssh google-compute-engine
我有一个运行Ubuntu的GCE实例。串行控制台告诉我,它正在通过SSH从几个IP进行持续的暴力攻击。我真的希望能够看到所有成功的 SSH登录日志到我的实例,这样如果有人进来,我至少会知道它。
如何查看此类日志?
答案 0 :(得分:1)
linux" last"命令将显示所有成功登录。如果要查看失败的登录信息,可以使用" lastb"命令。
答案 1 :(得分:1)
如果您在本地保存日志,可以像Lennert提到的那样使用last命令,或查看/var/log/auth(on Ubuntu),/var/log/secure或/var/log/audit/audit.log(RedHat)。
last
/var/log/auth
/var/log/secure
/var/log/audit/audit.log
请注意,如果您在本地保存日志,则实现root的攻击者可能会删除其访问日志 - 许多组织使用远程syslog来避免这种情况,但如果您运行的是单个服务器,这可能不值得。
SuperUser提供了有关此主题的更多信息。