Centos7 SSH登录日志分析

SSH登入和登出、失败日志查询

```
/var/run/utmp 记录着现在登入的用戶（查看last -f /var/run/utmp）
/var/log/message  一般信息和系统信息
/var/log/secure  记录安全相关的信息，包括登录服务器的相关日志
/var/log/btmp 记录错误的登录尝试，二进制文件（lastb命令就是读取此日志,效果同 last -f /var/log/btmp）
/var/log/wtmp 记录登入和登出，二进制文件（last命令就是读取此日志，也可以用who -u /var/log/wtmp 查看信息）
```
[linux系统/var/log目录下的信息详解](http://blog.chinaunix.net/uid-26569496-id-3199434.html "linux系统/var/log目录下的信息详解")
[/var/log/secure详解](https://www.fujieace.com/linux/var-log-secure.html "/var/log/secure详解")

`last` 列出截止目前登录过系统的用户信息;是Linux内置的审计跟踪工具 [详解](https://www.cnblogs.com/machangwei-8/p/10354577.html "详解")
`lastb` 列出登入系统失败的用户名单,效果同  last -f /var/log/btmp
- 第一列: 用户名，或者显示reboot（启动或者重启操作在这里会记录成reboot）
- 第二列: 终端位置；pts: 意味着从SSH或TELNET的远程连接用户；tty: 意味着直接连接到计算机或者本地连接用户；,如果是启动或者重启操作，这里会显示成system boot
- 第三列: 登录IP或者内核；0.0或者什么都没有的话：意味着用户通过本地终端连接；重启活动，会显示内核版本
- 第四列: 开始时间
- 第五列: 结束时间；still log in: 还在登录；down:  直到正常关机；crash: 直到强制关机
- 第六列: 持续时间

查找恶意登录的前十个IP
`sudo lastb | awk '{ print $3}' | awk '{++S[$NF]} END {for(a in S) print a, S[a]}' | sort -rk2 |head`
cat /var/log/secure | grep "Failed password for" | wc -l