Linuxのセキュリティ関連のログは /var/log/secure(または /var/log/auth.log)に記録されています。
この記事では、セキュリティログの確認方法と、不審なログの読み方を解説します。
・/var/log/secure(CentOS/RHEL)または /var/log/auth.log(Ubuntu/Debian)にSSH認証やsudoのログが記録される
・tail -f /var/log/secure でセキュリティログをリアルタイム監視できる
・grep "Failed password" /var/log/secure で認証失敗の試行を一覧抽出できる
・journalctl -u sshd でRHEL 7以降のSSHセキュリティログを確認できる
でも安心してください。プロのエンジニアはコマンドを暗記していません。
「現場で使える型」を効率よく使いこなしているだけです。
/var/log/secure とは
/var/log/secure は、Linuxシステムの認証・セキュリティ関連のメッセージが記録されるログファイルです。主に記録される内容:
・SSHログインの成功・失敗
・
su コマンドによるユーザー切り替え・PAM(Pluggable Authentication Modules)の認証メッセージ
・sudoの実行履歴
※ Debian / Ubuntu 系では
/var/log/auth.log に記録されます。セキュリティログを確認する方法
1. 最新のログを確認する
# 最新10行を表示する tail /var/log/secure # リアルタイムで監視する tail -f /var/log/secure
Oct 10 12:21:19 Tiger sshd[1350]: Accepted password for pakira from 192.168.0.162 port 54751 ssh2 Oct 10 12:21:22 Tiger su: pam_unix(su-l:auth): authentication failure; logname=pakira uid=500 euid=0 tty=pts/0 ruser=pakira rhost= user=root
su 認証に失敗していることが確認できます。2. 認証失敗のみを抽出する
大量のログから不審なエントリだけを絞り込むにはgrep を使います。# 認証失敗のログを抽出する grep "authentication failure" /var/log/secure # SSHの失敗ログを抽出する grep "Failed password" /var/log/secure # 特定のIPからのアクセスを調べる grep "192.168.0.162" /var/log/secure
3. journalctl でセキュリティログを確認する(RHEL 7以降)
RHEL 7以降ではjournalctl でも認証ログを確認できます。# sshd のログを表示する journalctl -u sshd # リアルタイムで監視する journalctl -u sshd -f
本記事のまとめ
| やりたいこと | コマンド |
|---|---|
| セキュリティログを確認する | tail /var/log/secure |
| リアルタイムで監視する | tail -f /var/log/secure |
| 認証失敗を抽出する | grep "authentication failure" /var/log/secure |
| SSH失敗ログを抽出する | grep "Failed password" /var/log/secure |
| journalctlでsshログを確認する | journalctl -u sshd |
Linuxのセキュリティ管理を体系的に身につけたい方へ
ログ監視はセキュリティ対応の基本です。不審なアクセスを素早く検出できるよう、体系的な知識を身につけておきましょう。
ネットの切れ端の情報をコピペするだけでなく、現場で通用する安全なLinuxサーバー構築の「型」を体系的に身につけたい方へ、『Linuxサーバー構築入門マニュアル(図解60P)』を完全無料でプレゼントしています。
「独学の時間がもったいない」「プロから直接、現場の技術を最短で学びたい」という本気の方には、2日で実務レベルのスキルが身につく【初心者向けハンズオンセミナー】も開催しています。
3,100名以上が実践した「型」を無料で公開中
プロのエンジニアはコマンドを暗記していません。
「現場で使える型」を効率よく使いこなしているだけです。
その「型」を図解60Pにまとめた入門マニュアルを、完全無料でプレゼントしています。
登録10秒/合わなければ解除3秒 / 詳細はこちら
この記事を書いた人
宮崎 智広(みやざき ともひろ)
株式会社イーネットマーキュリー代表。現役のLinuxサーバー管理者として15年以上の実務経験を持ち、これまでに累計3,100名以上のエンジニアを指導してきたLinux教育のプロフェッショナル。「現場で本当に使える技術」を体系的に伝えることをモットーに、実践型のLinuxセミナーの開催や無料マニュアルの配布を通じてLinux人材の育成に取り組んでいる。
趣味は、キャンプにカメラ、トラウト釣り。好きな食べ物は、ラーメンにお酒。休肝日が作れない、酒量を減らせないのが悩み。最近、ドラマ「フライトエンジェル」を観て涙腺が崩壊しました。
無料メルマガで学習を続ける
Linuxの実践スキルをメールで毎週お届け。
登録は1分、解除もいつでも可。
登録無料・いつでも解除できます