如何查看Linux服务器上的访问记录？

在Linux服务器上查看访问记录是系统管理员和安全专家的重要任务之一，访问记录可以帮助你了解谁在什么时候访问了你的服务器，以及他们进行了哪些操作，以下是一些常用的方法和工具来查看服务器的访问记录：

使用 `last` 命令

last 命令可以显示最近登录到系统的用户信息，它读取/var/log/wtmp 文件，该文件记录了所有用户的登录、注销和系统重启事件。

last

输出示例：

username pts/0        192.168.1.100    Mon Oct  9 10:34   still logged in
username pts/1        192.168.1.101    Mon Oct  9 10:35  10:40  (00:05)

使用 `lastb` 命令

lastb 命令用于显示失败的登录尝试，它读取/var/log/btmp 文件，该文件记录了所有失败的登录尝试。

sudo lastb

输出示例：

username ssh:notty    192.168.1.102    Mon Oct  9 10:36  10:36  (00:00)

查看 Web 服务器日志

如果你运行的是Web服务器（如Apache或Nginx），你可以查看它们的访问日志来了解谁访问了你的网站。

Apache

默认情况下，Apache的访问日志位于/var/log/apache2/access.log，你可以使用cat,less,tail 等命令查看日志内容。

sudo tail f /var/log/apache2/access.log

输出示例：

192、168.1.100   [09/Oct/2023:10:34:56 +0000] "GET /index.html HTTP/1.1" 200 1024
192、168.1.101   [09/Oct/2023:10:35:01 +0000] "POST /login HTTP/1.1" 302 512

Nginx

默认情况下，Nginx的访问日志位于/var/log/nginx/access.log，你可以使用cat,less,tail 等命令查看日志内容。

sudo tail f /var/log/nginx/access.log

输出示例：

192、168.1.100   [09/Oct/2023:10:34:56 +0000] "GET /index.html HTTP/1.1" 200 1024
192、168.1.101   [09/Oct/2023:10:35:01 +0000] "POST /login HTTP/1.1" 302 512

4. 使用journalctl 命令

对于基于 systemd 的系统，可以使用journalctl 命令查看系统日志，包括SSH登录和其他服务日志。

sudo journalctl u sshd

输出示例：

Oct 09 10:34:56 servername sshd[1234]: Accepted password for username from 192.168.1.100 port 22 ssh2
Oct 09 10:35:01 servername sshd[1235]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.101 user=username

5. 使用ausearch 和auditd

Auditd 是一个高级的审计守护进程，它可以记录系统调用和应用程序事件，你可以使用ausearch 命令来查询审计日志。

确保 auditd 服务正在运行：

sudo systemctl start auditd
sudo systemctl enable auditd

使用ausearch 命令查看特定事件的日志：

sudo ausearch k login_events

输出示例：

type=USER_LOGIN msg=audit(1672447696.999:1234): pid=1234 uid=0 auid=4369 oldauid=4368 newauid=4369 res=success
type=USER_END msg=audit(1672447701.999:1235): user pid=1234 uid=0 auid=4369 ses=1 subj==unconfined comm="sshd" exe="/usr/sbin/sshd" key=(null) type=LOGIN msg='logged out' acct="username" res=success

通过上述方法，你可以在Linux服务器上查看各种类型的访问记录，这些日志文件和命令提供了丰富的信息，帮助你监控和分析服务器的活动，定期检查这些日志文件是维护系统安全的重要步骤。

到此，以上就是小编对于“linux怎么查看服务器被访问记录”的问题就介绍到这了，希望介绍的几点解答对大家有用，有任何问题和不懂的，欢迎各位朋友在评论区讨论，给我留言。