как упростить информацию, содержащуюся в /var/log/auth.log
my /var/log/auth.log содержит довольно некоторые строки, такие как
"reverse mapping checking getaddrinfo for
224.51.174.61.dial.wz.zj.dynamic.163data.com.cn [61.174.51.224] failed -
POSSIBLE BREAK-IN ATTEMPT!"
"Failed password for root from 61.174.51.224 port 4227 ssh2"
"reverse mapping checking getaddrinfo for
187-101-166-232.dsl.telesp.net.br [187.101.166.232] failed -
POSSIBLE BREAK-IN ATTEMPT!"
"Invalid user Admin from 187.101.166.232"
. Я вижу, что хакеры не смогли пробиться.
Но, к сожалению, я также см. некоторые журналы, такие как
Successful su for xxxxxx (my username) by root
Мои глупые вопросы:
Из auth.log, как я могу сказать, что «успешное su» было мной, а не хакеров, которые, возможно, получили мою регистрационную информацию? Как фильтровать файл auth.log, чтобы он кратко сообщал, какой пользователь успешно вошел в систему, как долго и откуда? IP-адреса действительно были в файле auth.log, но нелегко увидеть, действительно ли им удалось ворваться. Есть ли файл журнала, чтобы проверить, что сделали хакеры?Спасибо за любое просветление.
1
задан Rinzwind
4 April 2014 в 13:32
поделиться