Windows服务器远程登录日志查询方法，linux查看登录日志方法

概述

本文介绍Windows、Linux服务器查询系统的远程登录日志方法。

根据服务器所使用的操作系统不同，有以下两种查询方法。

Linux操作系统的登录日志查询

通过远程连接登录Linux服务器，使用root用户执行last命令，系统会列出最近的登录记录。

注：last命令各输出列作用及含义。

· 第一列：用户名。

· 第二列：终端位置。pts/0 （伪终端）指 ssh命令或telnet命令远程连接用户，tty指本地连接用户。

· 第三列：登录IP或者内核 。0.0或无内容，表示用户从本地终端连接。除重启操作，内核版本会显示在状态中。

· 第四列：开始时间。

· 第五列：结束时间（still logged in 状态：用户未退出，down 状态：直到正常关机，crash 状态：直到强制关机）。

· 第六列：持续时间。

Windows操作系统的登录日志查询

1、通过远程连接登录Windows服务器，单击 开始 >运行（快捷键：win+R），输入eventvwr.msc并单击键盘的 Enter 回车按键，打开 事件查看器。

2、单击 Windows 日志，选中 安全 并右击，单击 查找，打开 查找 框。

3、在 查找内容（N） 处，输入“登录” 进行快速查找登录相关事件。

4、双击查找到的事件，单击 详细信息，查看 IpAddress 字段和 IpPort 字段信息。

注：

· IpAddress 字段记录的是登录过本机的IP地址。

· IpPort 字段记录的是登录过本机的端口

步骤如下：

1、打开控制面板，点击管理工具，点击Internet 信息服务（IIS）6.0 管理器。

2、打开smtp服务的属性对话框，在指定的smtp虚拟服务器上，鼠标单击右键，然后单机“属性”菜单。

3、启动smtp服务器的日志功能，点击“常规”选项卡页面，将“启用日志记录”勾选上，并选择指定的日志格式。

4、单击日志分组的里面的“属性”按钮，查看日志的相关属性。

5、打开日志的属性的对话框，可以设置日志文件的频率和大小，以及日志保存的文件夹，这些一般按默认设置即可。

6、打开日志属性对话框，可以看到日志文件的路径，查看指定文件，即可查看到日志内容。

以上就是Windows Server 2008怎么查看远程桌面登录日志的解决方法。

日志管理

/var/log

常用的系统日志如下:

核心启动日志:/var/log/dmesg

系统报错或重启服务等日志:/var/log/messages

邮件系统日志:/var/log/maillog

cron(定制任务日志)日志:/var/log/cron #计划日志执行成功与否，在这个文件中看

var/log/secure #验证系统用户登录

文件 /var/log/wtmp 记录所有的登入和登出

[root@xuegod60 log]# >/var/log/wtmp

[root@xuegod60 log]# last

wtmp begins Mon Feb 29 21:38:36 2016

文件 /var/log/lastlog 记录每个用户最后的登入信息。

[root@xuegod60 ~]# lastlog

Username Port From Latest

root pts/0 192.168.1.100 Mon Feb 29 20:29:57 +0800 2016

文件 /var/log/btmp 记录错误的登入尝试。

测试：

[root@xuegod61 ~]# ssh root@192.168.1.60

故意输错密码

[root@xuegod60 ~]# lastb

root ssh:notty 192.168.1.61 Mon Feb 29 21:43 - 21:43 (00:00)

[root@xuegod60 ~]# ll -h /var/log/btmp

-rw-------. 1 root utmp 768 Feb 29 21:43 /var/log/btmp

#如果btmp文件特别大，说明有人在暴力破解你的服务器

日志的记录方式：先分类，然后每个类中再分级别

主要7种日志分类(FACILITY):

authpriv安全认证相关

cron at和cron定时相关

daemon 后台进程相关

kern 内核产生

lpr 打印系统产生

mail 邮件系统相关

syslog 日志服务本身

news 新闻系统 （和BBS差不多，新闻组）

uucp uucp系统产生 。Unix-to-Unix Copy(UNIX至UNIX的拷贝)，Unix系统的一项功能，允许计算机之间以存储-转发方式交换e-mail和消息。在Internet兴起之前是Unix系统之间连网的主要方式。

local0到local7 #共8个类型，系统保留的：8个系统日志类型，给其它程序使用。或用户自定义用

8个日志级别：以下排列，由轻到重

级别(PRIOROTY):

debug 排错信息。开发人

info 正常信息

notice 稍微要注意的

warn 警告

err(error) 错误

crit(critical) 关键的错误

alert 警报警惕

emerg(emergency) 紧急，突发事件

日志服务：

1).rhel5：

服务名称：syslog

配置文件：

#vim /etc/syslog.conf

2) .RHEL6/7:rsyslog

配置文件：

#vim /etc/rsyslog.conf

进入配置文件显示内容如下：

1. kern.* 内核类型的所级别日志

2 *.infomail.nonenews.noneauthpriv.nonecron.none：由于 mail, news, authpriv, cron 等类别产生的讯息较多，因此在 /var/log/messages 里面不记录这些项目。除此其他讯息都写入 /var/log/messages 中。所以messages 文件很重要

3. authpriv.* 认证方面的讯息均写入 /var/log/secure 档案；

4. mail.*：邮件方面的讯息则均写入 /var/log/maillog 档案；

5. cron.*：例行性工作排程均写入 /var/log/cron 档案；

6. local7.*：将本机开机时应该显示到屏幕的讯息写入到 /var/log/boot.log 档案中；

/etc/rsyslog.conf 中日志输入规则：

例：

. ：代表『比后面还要高的等级都被记录下来』的意思，

例如： mail.info 代表只要是 mail 类型的信息，而且该信息等级高于 info (包括 info 本身)时，就会被记录下来的意思。

.= ：代表所需要的等级就是后面接的等级而已， 其他的都不要！

.! ：代表不等于， 亦即是除了该等级外的其他等级都记录。

举例：

cron.none 对于cron类型日志不记录任何信息

cron.=err 对于cron类型日志只记录err级别的信息

cron.err 对于cron类型日志记录大于err级别的信息

cron.!err 对于cron类型日志不记录err级别的信息，其他级别都记录。

扩展

wall命令介绍：

wall -- send a message to everybody’s terminal.

[root@xuegod60 ~]# wall Today is nice day

Broadcast message from root@xuegod60.cn (pts/0) (Mon Feb 29 22:01:30 2016):

Today is nice day

[root@xuegod60 ~]# vim /etc/rsyslog.conf

mail.* -/var/log/maillog

在上面的第四行关于 mail 的记录中，在记录的档案 /var/log/maillog 前面还有个减号『 - 』是干嘛用的？

由于邮件所产生的讯息比较多，因此我们希望邮件产生的讯息先储存在速度较快的内存中 (buffer) ，等到数据量够大了才一次性的将所有数据都填入磁盘内，这样将有利于减少对磁盘读写的次数，减少IO读写开销。另外，由于讯息是暂存在内存内，因此若不正常关机导致登录信息未写入到文档中，可能会造成部分数据的遗失。

自定义sshd服务的日志

[root@xuegod60 ~]# vim /etc/rsyslog.conf

local0.* /var/log/sshd.log

[root@xuegod60 ~]# systemctl restart rsyslog

定义sshd远程服务日志的类别

[root@xuegod60 ~]# vim /etc/ssh/sshd_config

#SyslogFacility AUTHPRIV

SyslogFacility local0

[root@xuegod60 ~]# systemctl restart sshd

[root@xuegod60 ~]# ls /var/log/sshd.log

/var/log/sshd.log

[root@xuegod60 ~]# cat !$

cat /var/log/sshd.log

Feb 29 22:11:19 xuegod60 sshd[41268]: Received signal 15terminating.

Feb 29 22:11:19 xuegod60 sshd[41525]: Server listening on 0.0.0.0 port 22.

Feb 29 22:11:19 xuegod60 sshd[41525]: Server listening on :: port 22.

日志查看方式

时间主机 进程ID 描述信息

如何防止日志被黑客删除呢？

[root@xuegod60 ~]# chattr +a /var/log/sshd.log

[root@xuegod60 ~]# lsattr /var/log/sshd.log

-----a---------- /var/log/sshd.log

加入了这个属性后，你的 /var/log/messages 登录档从此就仅能被增加，而不能被删除，直到 root 以『 chattr -a /var/log/messages 』取消这个 a 的参数后，才能被删除移！

日志回滚：

[root@xuegod60 ~]# vim /etc/logrotate.conf

weekly <==预设每个礼拜对日志档进行一次 rotate 的工作

rotate 4 <==保留几个日志文档呢？预设是保留四个！

create <== 回滚日志后，创建一个新的空文件来存储新的数据。

/var/log/wtmp {

monthly

create 0664 root utmp

minsize 1M

rotate 1

}

说明：

/var/log/wtmp { <==仅针对 /var/log/wtmp 所设定的参数

monthly <==每个月一次，取代每周！

minsize 1M <==档案容量一定要超过 1M 后才进行 rotate (略过时间参数)

create 0664 root utmp <==设定新建文件的权限 、所有者、用户组

rotate 1 <==仅保留一个，亦即仅有 wtmp.1 保留而已。 }

配置远程日志服务器，实现日志集中管理：

1. 配置SERVER端（接收端）： xuegod60服务端。 xuegod61做客户端

服务端配置

[root@xuegod60 ~]# vim /etc/rsyslog.conf

改：

#$ModLoad imtcp

#$InputTCPServerRun 514

为：

$ModLoad imtcp

$InputTCPServerRun 514

重启服务

[root@xuegod60 ~]# systemctl restart rsyslog

查看服务监听状态

[root@xuegod60 ~]# netstat -anput | grep 514

tcp 0 0 0.0.0.0:514 0.0.0.0:* LISTEN 42163/rsyslogd

tcp 0 64 192.168.1.60:22 192.168.1.100:51497 ESTABLISHED 2212/sshd:root@pts

tcp6 0 0 :::514 :::* LISTEN 42163/rsyslogd

2、配置CLIENT端（客户端）

[root@xuegod61 ~]# vim /etc/rsyslog.conf

*.* @@192.168.1.60:514

[root@xuegod61 ~]# systemctl restart rsyslog

验证：

服务端关闭防火墙

[root@xuegod60 ~]# systemctl stop firewalld

在服务端查看

[root@xuegod60 ~]# tail -f /var/log/messages

在客户端

[root@xuegod61 ~]# systemctl restart NetworkManager

---