linux日志路徑
auth.log/secure 用戶登錄日志以及其權限
btmp/wtmp 登錄失敗記錄/用戶登錄記錄
lastlog/faillog 最后一次登錄記錄/登錄失敗記錄

/var/log/messages — 包括整體系統信息，其中也包含系統啟動期間的日志。此外，mail，cron，daemon，kern和auth等內容也記錄在var/log/messages日志中。

/var/log/dmesg — 包含內核緩沖信息（kernel ring buffer）。在系統啟動時，會在屏幕上顯示許多與硬件有關的信息。可以用dmesg查看它們。

/var/log/auth.log — 包含系統授權信息，包括用戶登錄和使用的權限機制等。

/var/log/boot.log — 包含系統啟動時的日志。

/var/log/daemon.log — 包含各種系統后臺守護進程日志信息。

/var/log/dpkg.log – 包括安裝或dpkg命令清除軟件包的日志。

/var/log/kern.log – 包含內核產生的日志，有助于在定制內核時解決問題。

/var/log/lastlog — 記錄所有用戶的最近信息。這不是一個ASCII文件，因此需要用lastlog命令查看內容。

/var/log/maillog /var/log/mail.log — 包含來著系統運行電子郵件服務器的日志信息。例如，sendmail日志信息就全部送到這個文件中。

/var/log/user.log — 記錄所有等級用戶信息的日志。

/var/log/Xorg.x.log — 來自X的日志信息。

/var/log/alternatives.log – 更新替代信息都記錄在這個文件中。

/var/log/btmp – 記錄所有失敗登錄信息。使用last命令可以查看btmp文件。例如，”last -f /var/log/btmp | more“。

/var/log/cups — 涉及所有打印信息的日志。

/var/log/anaconda.log — 在安裝Linux時，所有安裝信息都儲存在這個文件中。

/var/log/yum.log — 包含使用yum安裝的軟件包信息。

/var/log/cron — 每當cron進程開始一個工作時，就會將相關信息記錄在這個文件中。

/var/log/secure — 包含驗證和授權方面信息。例如，sshd會將所有信息記錄（其中包括失敗登錄）在這里。

/var/log/wtmp或/var/log/utmp — 包含登錄信息。使用wtmp可以找出誰正在登陸進入系統，誰使用命令顯示這個文件或信息等。

/var/log/faillog – 包含用戶登錄失敗信息。此外，錯誤登錄命令也會記錄在本文件中。

除了上述Log文件以外， /var/log還基于系統的具體應用包含以下一些子目錄：

/var/log/httpd/或/var/log/apache2 — 包含服務器access_log和error_log信息。

/var/log/lighttpd/ — 包含light HTTPD的access_log和error_log。

/var/log/mail/ – 這個子目錄包含郵件服務器的額外日志。

/var/log/prelink/ — 包含.so文件被prelink修改的信息。

/var/log/audit/ — 包含被 Linux audit daemon儲存的信息。

/var/log/samba/ – 包含由samba存儲的信息。

/var/log/sa/ — 包含每日由sysstat軟件包收集的sar文件。

/var/log/sssd/ – 用于守護進程安全服務。

除了手動存檔和清除這些日志文件以外，還可以使用logrotate在文件達到一定大小后自動刪除。可以嘗試用vi，tail，grep和less等命令查看這些日志文件。

Windows日志清理
wevtutil cl sys
wevtutil cl application
wevtutil cl security

windows日志路徑
eventvwr#打開日志頁面
在這里插入圖片描述

C:\Windows\System32\winevt\Logs\System.evtx
C:\Windows\System32\winevt\Logs\security.evtx
C:\Windows\System32\winevt\Logs\application.evtx
wmic nteventlog get path,filename, writeable #得到日志文件的位置
在這里插入圖片描述

其他
awk -F: ‘$3==0{print $1}’ /etc/passwd #查看文件中是否有其他特權用戶 （uid = 0）
#以 ':'為分隔符讀取/etc/passwd的數據，當第三個部分等于0的時候，輸出第一個部分。

awk ‘/$1|$6/{print $1}’ /etc/shadow #可遠程登錄的用戶信息

grep “Failed password” /var/log/secure|perl -e ‘while($_=<>){ /for(.*?) from/; print “$1\n”;}’|uniq -c|sort -nr #定位爆破用戶名

grep “Failed password” /var/log/secure|grep -E -o “(25[0-5]|2[0-4][0-9]| [01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0- 9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)”|uniq -c | sort -nr #定位爆破ip

grep -o “Failed password” /var/log/secure|uniq -c #登錄失敗的次數

grep "Accepted " /var/log/secure | awk ‘{print $11}’ | sort | uniq -c | sort -nr | more #統計登陸成功的ip

總結

以上是生活随笔為你收集整理的linux日志分析与痕迹清理的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。