- 综合排序
- 最热优先
- 最新优先
- 来自专栏运维小路
Linux日志-btmp日志
1.Linux日志-message日志 2.Linux日志-secure日志 3.Linux日志-btmp日志(本章节) 4.Linux日志-wtmp日志 5.Linux日志-lastlog日志 6.Linux 在Linux系统中,btmp 日志是系统日志的一部分,它记录了所有登录失败的尝试,包括失败的登录用户名、登录失败的时间以及登录失败的来源 IP 地址。 日志基本信息 日志路径:/var/log/btmp 日志格式: 二级制格式 查看方法:使用专用命令lastb [root@iZ2vci40gfjzarlead7vliZ ~]# lastb usuario
2.1K00编辑于 2024-11-01 - 来自专栏zinyan
Linux 系统日志-secure,btmp,wtmp文件详解
3. btmp 日志 如果说wtmp是记录登录成功的日志。那么btmp就是记录所有尝试登录,但是登录失败的日志。 它存储的路径和wtmp文件在同一目录下:/var/log/btmp 同样btmp也是属于二进制文件。无法通过cat或者vim 进行阅读。需要通过命令lastb进行阅读。 [root@iZuf /]# ls var/log/btmp btmp btmp-20221101 例如上面的结果,我们如果要看btmp-20221101 里面的数据,就需要使用 :lastb -f /var/log/btmp-20221101 示例如下,查询上个月的非法登录的前10条记录: [root@iZuf /]# lastb -f /var/log/btmp-20221101 secure日志和wtmp和btmp文件一样,存储在var/log目录下。
12.9K31编辑于 2022-12-08 - 来自专栏sunsky
Linux用户登录日志查询 # 1 utmp、wtmp、btmp文件
# 1 utmp、wtmp、btmp文件 Linux用户登录信息放在三个文件中: 1 /var/run/utmp:记录当前正在登录系统的用户信息,默认由who和w记录当前登录用户的信息,uptime 记录系统启动时间; 2 /var/log/wtmp:记录当前正在登录和历史登录系统的用户信息,默认由last命令查看; 3 /var/log/btmp:记录失败的登录尝试信息,默认由lastb命令查看 此外: 如果想禁用who命令,则只需要将utmp的可读权限去掉就行,这样非root用户就不能用此命令了;如果是btmp文件,手工创建的话注意权限必须为600,否则不能正确写入信息。 当然也可以通过last -f参数指定读取文件,可以是/var/log/btmp、/var/run/utmp [root@CLMUGR-APP-D-01 log]# last root pts/ 包括/var/run/utmp、/var/log/wtmp、/var/log/btmp。语法为:utmpdump [options] [filename]。
25.6K30发布于 2020-08-20 - 来自专栏数据分析与挖掘
python关于多级包之间的引用问题
test_bTmps3() def test_bTmp4(): print('这里是package_b包中tmp4模块下的test_bTmp4函数') 我们在tmp4.py中继续使用b_uitls 包中tmp4模块下的test_bTmp4函数') # test_bUtils() test_bTmp3() test_bUtils() 这里是package_b包中tmp3模块下的test_bTmp3 .b_utils.bUtils import test_bUtils def test_bTmp4(): print('这里是package_b包中tmp4模块下的test_bTmp4函数') test_bTmp3() test_bUtils() 这样就不会报错了: 这里是package_b包中tmp3模块下的test_bTmp3函数 这里是package_b包中b_uitls包中的bUtils from .b_utils.bUtils import test_bUtils def test_bTmp4(): print('这里是package_b包中tmp4模块下的test_bTmp4
1.1K40发布于 2021-08-24 - 来自专栏zinyan
Linux 简单清理登录日志,以及查看当前登录用户列表
介绍 在之前介绍过Linux的系统日志secure,btmp,wtmp这三个指令。https://zinyan.com/?p=456 而本篇内容,主要介绍如何清理Linux中缓存的各种登录日志。 2.2 清理btmp,wtmp 等缓存资料 如果直接说btmp和wtmp可能不太理解。我们换成指令就能理解了: last: 阅读的wtmp文件,文件存储在:/var/log/wtmp。 lastb:阅读的btmp文件,文件存储在:/var/log/btmp。记录所有登录失败的日志。 例如清理btmp文件: [root@iZuf ~]# > /var/log/btmp 清理完毕后,再通过lastb进行查询时就是空的了: [root@iZuf ~]# lastb | awk '{ print
2.3K30编辑于 2023-09-06 - 来自专栏C/C++基础
Linux 命令(167)—— last 命令
文章目录 1.命令简介 2.命令格式 3.选项说明 4.常用示例 5.拓展知识 5.1 utmp、wtmp、btmp文件 参考文献 1.命令简介 last 列出登录系统的用户列表。 /var/log/btmp 该文件比较详细,可以显示 ssh 远程登录的信息。 last -5 -f /var/log/btmp last -5 -f /var/log/btmp admin ssh:notty 92.255.85.113 Thu Oct 27 13 - 13:38 (00:00) guest ssh:notty 92.255.85.113 Thu Oct 27 13:33 - 13:38 (00:04) btmp /var/log/wtmp:记录当前正在登录和历史登录系统的用户信息,默认由last命令查看; /var/log/btmp:记录失败的登录尝试信息,默认由 lastb 命令查看。
2.5K30编辑于 2022-10-30 - 来自专栏kenvie
Unraid日志爆满问题
新组的nas上面日志马上就爆满了 进入终端查看 cd /var/log/ ls -al 发现我的日志文件普遍和大家的大的不一致 大部分的日志文件大在syslog,我的主要大在/var/log/btmp [a]}' | sort -rk2 |head 报错的是一个内网ip,原因是我开了frp内网穿透,所以这里只能记录下frp客户端部署的地址 这边查看无果 做个备份 先暂时删除这些日志 rm -rf btmp * # 顺便删下系统日志 rm -rf syslog* #新建 touch btmp touch syslog 界面已经恢复正常了
2.8K20编辑于 2022-02-27 - 来自专栏运维小白
10.34 linux系统日志
日志切割配置文件 参考日志文件文章 dmesg命令 /var/log/dmesg 日志 last命令,调用的文件/var/log/wtmp lastb命令查看登录失败的用户,对应的文件时/var/log/btmp //切割该文件,每个月切割一次 monthly create 0664 root utmp minsize 1M rotate 1 } /var/log/btmp 等等等,只截取了一部分 [root@hf-01 ~]# ls /var/log/wtmp /var/log/wtmp lastb命令 lastb命令,查看登录失败的用户 对应的文件时/var/log/btmp 日志 /var/log/btmp也是二进制文件,不能直接cat的 [root@hf-01 ~]# lastb btmp begins Sat Dec 2 04:25:01 2017 [root@hf -01 ~]# ls /var/log/btmp /var/log/btmp [root@hf-01 ~]# 安全日志 /var/log/secure 比如登录操作系统,验证成功会在这里记录一个日志
15.2K61发布于 2018-02-06 - 来自专栏C/C++基础
Linux 命令(168)—— lastb 命令
单独执行 lastb 命令,它会读取位于 /var/log 目录下名为 btmp 的文件,并把该文件内容记录的登入失败的用户名单,全部显示出来。 14:20 - 14:20 (00:00) 1234 ssh:notty 92.255.85.113 Thu Oct 27 14:20 - 14:20 (00:00) btmp begins Mon Oct 17 03:43:01 2022 lastb 指令,它会读取位于 /var/log/btmp 的文件,并把该文件内容记录的登入系统失败的用户名单,全部显示出来。 btmp 是二进制文件,所以用 last -f /var/log/btmp 结果一样。 (2)使用 -a 选项把来源 IP 显示在最后列。 00:00) 92.255.85.113 operator ssh:notty Thu Oct 27 14:24 - 14:24 (00:00) 92.255.85.113 btmp
1.8K20编辑于 2022-10-30 - 来自专栏数据开发笔记
Unraid日志爆满问题
新组的nas上面日志马上就爆满了 进入终端查看 cd /var/log/ ls -al 发现我的日志文件普遍和大家的大的不一致 大部分的日志文件大在syslog,我的主要大在/var/log/btmp [a]}' | sort -rk2 |head 报错的是一个内网ip,原因是我开了frp内网穿透,所以这里只能记录下frp客户端部署的地址 这边查看无果 做个备份 先暂时删除这些日志 rm -rf btmp * # 顺便删下系统日志 rm -rf syslog* #新建 touch btmp touch syslog 界面已经恢复正常了 本站文章除注明转载/出处外,均为本站原创
1.7K30编辑于 2022-02-28 - 来自专栏闪石星曜CyberSecurity
渗透测试TIPS之删除、伪造Linux系统登录日志
Linux中与登录有关的日志及其格式分析 Linux中涉及到登录的二进制日志文件有 /var/run/utmp /var/log/wtmp /var/log/btmp /var/log/lastlog 其中 utmp 对应w 和 who命令;wtmp 对应last命令;btmp对应lastb命令;lastlog 对应lastlog命令 经查Linux man 手册, /var/run/utmp /var/log/wtmp /var/log/btmp 的二进制格式都是一样的, 我们姑且称之为xtmp 格式 而/var/log/lastlog 文件的格式与之不同,需单独分析 256 utmp 记录例子(二进制内容解析处理后): 对比utmp的文件格式结构,挑几个重要的字段解释下 第1个字段7 表示这条记录类型,一般的用户正常登录记录类型都是7,错误登录是6 ,也就是btmp 记录 删除前 hacker 这个账户有很多次尝试登录记录 删除后: 5.添加btmp 伪造记录 6.删除lastlog 记录 hacker 用户最后一次登录记录,删除前: 删除后: 7.添加伪造的lastlog
1.9K20发布于 2021-02-12 - 来自专栏入门小站
Linux之lastb命令
单独执行lastb命令,它会读取位于/var/log目录下,名称为btmp的文件,并把该文件内容记录的登入失败的用户名单,全部显示出来。 使用ssh的登录失败不会记录在btmp文件中。 user ssh:notty 103.248.31.50 Sun Apr 11 22:17 - 22:17 (00:00) lastb指令,它会读取位于/var/log/btmp btmp是二进制文件,所以用last -f /var/log/btmp结果一样。 ssh:notty 120.132.112.75 Sun Apr 11 22:18 - 22:18 (00:00) 清除lastb对应的文件内容 > echo > /var/log/btmp
1.2K00发布于 2021-09-01 - 来自专栏若城技术专栏
【linux命令讲解大全】159.Linux 系统日志管理
单独执行 lastb 命令,它会读取位于 /var/log 目录下,名称为 btmp 的文件,并把该文件内容记录的登入失败的用户名单,全部显示出来。 实例 首次运行 lastb 命令会报下的错误: lastb: /var/log/btmp: No such file or directory Perhaps this file was removed touch /var/log/btmp 使用SSH的登录失败不会记录在 btmp 文件中。
56700编辑于 2024-03-02 - 来自专栏入门小站
Linux之lastb命令
单独执行lastb命令,它会读取位于/var/log目录下,名称为btmp的文件,并把该文件内容记录的登入失败的用户名单,全部显示出来。 使用ssh的登录失败不会记录在btmp文件中。 user ssh:notty 103.248.31.50 Sun Apr 11 22:17 - 22:17 (00:00) lastb指令,它会读取位于/var/log/btmp btmp是二进制文件,所以用last -f /var/log/btmp结果一样。 ssh:notty 120.132.112.75 Sun Apr 11 22:18 - 22:18 (00:00) 清除lastb对应的文件内容 > echo > /var/log/btmp
55710编辑于 2022-06-02 - 来自专栏入门小站
Linux之lastb命令
单独执行lastb命令,它会读取位于/var/log目录下,名称为btmp的文件,并把该文件内容记录的登入失败的用户名单,全部显示出来。 使用ssh的登录失败不会记录在btmp文件中。 user ssh:notty 103.248.31.50 Sun Apr 11 22:17 - 22:17 (00:00) lastb指令,它会读取位于/var/log/btmp btmp是二进制文件,所以用last -f /var/log/btmp结果一样。 ssh:notty 120.132.112.75 Sun Apr 11 22:18 - 22:18 (00:00) 清除lastb对应的文件内容 > echo > /var/log/btmp
51730编辑于 2022-04-02 - 来自专栏FreeBuf
渗透测试TIPS之删除、伪造Linux系统登录日志
Linux中与登录有关的日志及其格式分析 Linux中涉及到登录的二进制日志文件有 /var/run/utmp /var/log/wtmp /var/log/btmp /var/log/lastlog 其中 utmp 对应w 和 who命令; wtmp 对应last命令;btmp对应lastb命令;lastlog 对应lastlog命令 经查Linux man 手册, /var/run/utmp /var/log/wtmp /var/log/btmp 的二进制格式都是一样的, 我们姑且称之为xtmp 格式 而/var/log/lastlog 文件的格式与之不同,需单独分析 对比utmp的文件格式结构,挑几个重要的字段解释下 第1个字段7 表示这条记录类型,一般的用户正常登录记录类型都是7,错误登录是6 ,也就是btmp所记录的类型 第2个字段1497 是pid ,截图中我是用 4.删除btmp记录 删除前 ? hacker 这个账户有很多次尝试登录记录 删除后: ? 5.添加btmp 伪造记录 ?
3.4K60发布于 2018-02-28 - 来自专栏米扑专栏
Linux / MacOS 修改 ls 显示年月日的时间格式
1 root root 9835 May 30 2018 boot.log -rw------- 1 root utmp 62208 Dec 8 19:53 btmp -rw------- 1 root utmp 235392 Dec 1 04:14 btmp-20191201 [root@mimvp-bj ~]# [root -rw------- 1 root utmp 235392 2019-12-01__04:14:21 btmp-20191201 [root@mimvp-bj ~]# ll -rw------- 1 root utmp 235392 2019-12-01 04:14:21.953041715 +0800 btmp-20191201 注意: 若想跟 - -rw------- 1 root utmp 235392 2019-12-01 04:14:21.953041715 +0800 btmp-20191201 Macbook
5.1K21发布于 2020-02-25 - 来自专栏Python程序员杂谈
解决SSH登录太慢的问题
探索中发现可能因为 btmp 文件过大导致。 见:https://serverfault.com/a/855071/292356 于是查了下关于 btmp 找到这个问题: https://serverfault.com/questions/ 119299/my-var-log-btmp-file-is-huge-what-should-i-do, 摘部分答案: This means people are trying to brute-force 所以解决方案就是: echo '' > /var/log/btmp 主机的安全性 通过看上面的答案能了解到,总是有人在尝试登陆你的主机。
1.8K20发布于 2019-03-01 - 来自专栏网络收集
Unraid日志爆满问题
新组的nas上面日志马上就爆满了 进入终端查看 cd /var/log/ ls -al 发现我的日志文件普遍和大家的大的不一致 大部分的日志文件大在syslog,我的主要大在/var/log/btmp [a]}' | sort -rk2 |head 报错的是一个内网ip,原因是我开了frp内网穿透,所以这里只能记录下frp客户端部署的地址 这边查看无果 做个备份 先暂时删除这些日志 rm -rf btmp * # 顺便删下系统日志 rm -rf syslog* #新建 touch btmp touch syslog 界面已经恢复正常了
77640编辑于 2022-03-21 - 来自专栏Python乱炖
Linux基础知识(三)
btmp 详细路径:/var/log/btmp 记录失败的登录尝试信息,默认由lastb命令查看。 ? 使用lastb进行查看 ? 3、lastb 刚刚查看btmp文件用到的指令, 列出失败尝试的登录信息,和last命令功能完全相同。 ? 4、ac 输出所有用户总的连接时间,默认单位是小时。 包括/var/run/utmp、/var/log/wtmp、/var/log/btmp。 语法为:utmpdump [options] [filename]。 最后,对于/var/log/btmp: utmpdump /var/log/btmp ? 我们还可以使用utmpdump来做一些其他的事情,比如: 检查某个特定用户(如root)的登录次数。
1.2K10发布于 2019-09-23
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号