В CentOS 7, как я могу найти и просмотреть все системные журналы, которые сообщают мне, кто пытался войти в систему, кто входил в систему, с какими процессами они контактировали, что они выполняли и т. Д. Я хочу иметь возможность связать каждое действие с идентификатор пользователя или удаленный IP-адрес.
Мой var/log/
каталог содержит множество ресурсов, включая /var/log/messages
и /var/log/secure
, но большинство файлов имеют тип, Binary (application/octet-stream)
и ОС не знает, как их открыть, если я не связываю с ними какую-то неизвестную программу просмотра. Также, var/log/firewalld
похоже, не содержится полезной информации.
Я могу найти все журналы, созданные моим приложением, моей базой данных и NginX / Apache.
/var/log
и все они являются двоичными файлами? Уверен? Как вы проверяете?/var/log/firewalld
текстовый файл, который, кажется, содержит бесполезную информацию. Я проверяю, нажав на файлы в графическом интерфейсе. Сначала щелкните левой кнопкой мыши, чтобы попытаться открыть, затем щелкните правой кнопкой мыши, чтобы просмотреть свойства, чтобы проверить тип файла.Ответы:
Утилита (командной строки), которую вы должны использовать, это
journalctl
. Например, чтобы посмотреть на вывод dmesg:или разбираемые записи, относящиеся к брандмауэру:
Для списка выбираемого блока используйте обычные инструменты:
См. В
man journalctl
вашей системе дополнительные параметры для ограничения и указания выходных данных.источник
journalcdt --dmesg
кажется, не идентифицирует кого-либо более конкретного, чемlocalhost.localdoman
, иjournalctl --firewalld
производитunrecognized option
. Таким образом, ваше предложение еще не ответило на мой вопрос.journalctl --output=json-pretty UNIT=firewalld.service
дает вам вывод JSON.journalctl --output=json-pretty | grep -f UNIT | sort -u
даетgrep: UNIT: No such file or directory
journalctl --output=json-pretty UNIT=firewalld.service
работает , только когда я вошел в систему как пользователь root, но не когда я пытаюсь использовать терминал как обычный пользователь. Поэтому я пока не могу использовать этот код программно. Если бы я мог как-то автоматически сгенерировать новый набор файлов журналов для каждого выбираемого устройства, не оставляя мой пароль root в взломанном файле, то на этот вопрос был бы дан ответ.grep
(я не вырезал и не вставил и не опустил-F
опцию).