在遇到服务器触发 SSH 爆破、异常登录、权限变更这类安全告警,很多新手在打开/var/log目录对着一堆日志文件不知道从哪下手,分不清认证日志和系统日志的用途,Debian 和 RHEL 的日志路径记混,直接用cat查二进制日志还输出一堆乱码,翻了半天也没找到关键线索。
/var/log
cat
实际上Linux 安全日志排查很简单,先按用途把日志分好类,再对应发行版找对路径,结合场景用对命令,就能高效完成问题排查。