原文网址:https://www.youyong.top/article/11599d9d2257b
远程登录日志在一定程度上能够让我们更有效的进行故障定位和安全分析
原文网址:https://www.youyong.top/article/11599d9d2257b
Linux 系统操作方法
以 root 账户执行 last 命令,系统会列出最近的登陆记录。
last 命令各输出列作用及含义:
第一列:用户名。
第二列:终端位置。pts/0 (伪终端) SSH 或 telnet 远程连接用户,tty 本地连接用户。
第三列:登录 IP 或者内核 。0.0 或 无内容,表示用户从本地终端连接。除重启活动,内核版本会显示在状态中。
第四列:开始时间。
第五列:结束时间(still logged in 状态:用户未退出 down 状态:直到正常关机 crash 状态:直到强制关机)。
第六列:持续时间。
Windows 系统操作方法
1、打开事件查看器:点击 开始 - 运行 - 输入并执行 eventvwr.msc 命令,打开 Windows 事件查看器
2、筛选记录:在窗口主界面中,点击 + 号,展开 事件查看器 - Windows 日志 - 安全 - 查找任务类别为:其他登录/注销事件 ,确定后 系统会列出符合筛选条件的记录。
3、事件分析:双击要分析的事件,点击 常规 选项卡, 附加信息 中会列出客户端名和客户端地址,及事件记录时间等信息,我们可以通过这些信息,分析服务器是否存在安全隐患。
