1.wtmp日誌

last
last -x -F

2.查看在線用戶情況

（1）w 命令用於顯示已經登陸系統的用戶列表，並顯示用戶正在執行的指令。單獨執行w命令會顯示所有的用戶，您也可指定用戶名稱，僅顯示某位用戶的相關信息。

（2）who am i 顯示你的出口IP地址，該地址用於SSH連接的源IP

who am i
root     pts/0        2018-03-29 04:12 (111.204.243.8)

3.SSH登錄日誌分析

cat /var/log/secure |more
less /var/log/secure|grep ‘Accepted‘  
less /var/log/auth.log|grep ‘Accepted‘
 

檢查/var/log目錄下的secure（CentOS）或者auth.log（Ubuntu），如果存在大量異常IP高頻率嘗試登錄，且有成功登錄記錄（重點查找事發時間段），在微步在線上查詢該登錄IP信息，如果為惡意IP且與用戶常用IP無關，則很有可能為用戶弱口令被成功爆破。

/var/log/其他日誌說明：

/var/log/message  一般信息和系統信息
/var/log/secure  登陸信息
/var/log/maillog  mail記錄
/var/log/utmp 
/var/log/wtmp登陸記錄信息（last命令即讀取此日誌）

Linux入侵分析（二）分析SSH登錄日誌