Linuxのアクセスログを確認するサンプルコマンド

先日から公開しているサーバに対してのアクセスが気になって仕方がないので、確認する作業を自動化してしまおおうと考えた。
いっその事、アクセスが多い場合、メール送信するか、何らかのお知らせを送るようにすると、即時に対応出来るようになるしね。
とりあえず、Linuxは便利なAccess-logが存在するので、それを簡単に確認できるように、コマンドを備忘録として残しておくことにする。
ログインattack確認の「auth.log」
ログイン認証のログが書き込まれる「auth.log」はデフォルトで1週間に1回ログローテートされる。
海外からのアタックを受けると、この容量が半端なく肥大化してくるので、アクセスの多いIPアドレスなどを調査して、ブロックするようにすれば
ログの肥大化も、アクセスのボリュームに応じてかかるサーバー負荷を回避することができる。
まずは、auth.logのカラムフォーマットの確認
月 / 日 / 時分秒 / OS / type / message
さらにmessage内に”rhost=***”にIPアドレスが入るようなので、この値を一覧で取得します。
1 |
$ awk '{if($0~/rhost=/){split($0,s1,"rhost=");split(s1[2],s2," ");print s2[1];}}' /var/log/auth.log | sort | uniq -c | sort -k1 -n |
簡単に解説すると、awkコマンドで、auth.logファイル内の”rhost=”を含む行のみを処理します。
行全体を”rhost=”でsplitして、その後方の文字列を” “で分解して、アドレス部分だけを取得します。
結果は以下のようなアクセス履歴が取れました。(特に問題ないので掲載しておきます)
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 |
1 103.89.88.125 1 152.204.9.26 1 154.16.149.35 1 163.172.212.115 1 192.168.1.107 1 195.219.166.53 1 46.17.97.112 1 51.15.141.220 1 73-239-47-212.rev.cloud.scaleway.com 1 79.124.59.202 1 89.45.226.28 1 aurora.enn.lu 1 d207-81-165-45.bchsia.telus.net 1 exit-01a.noisetor.net 1 exit1.ipredator.se 1 h-4-230-97.a328.priv.bahnhof.se 1 ip-34-55-54-196.fr.amsterdamresidential.com 1 mx1.st0m.eu.org 1 politkovskaja.torservers.net 1 tor02.emeraldonion.org 1 tor06.emeraldonion.org 1 tor08.emeraldonion.org 1 tor10.emeraldonion.org 1 tor1.modio.se 1 tor-exit.dhalgren.org 1 tor-exit-relay.anonymizing-proxy.digitalcourage.de 1 tornode.torreactor.ml 1 tor.t-3.net 2 101.224.126.7 2 101.236.24.78 2 101.81.55.208 2 104.223.123.98 2 106.39.93.84 2 106.51.44.4 2 109.195.86.76 2 109.236.109.161 2 112.251.10.153 2 112.87.169.76 2 113.107.183.45 2 113.120.57.116 2 113.122.40.225 2 113.200.203.102 2 114.217.4.80 2 114-39-58-55.dynamic-ip.hinet.net 2 115.233.220.100 2 117.71.18.20 2 117.85.38.163 2 118.151.209.18 2 118.201.230.129 2 119.192.239.231 2 119.193.140.201 2 119.193.140.211 2 120.36.80.243 2 121.14.7.244 2 121.165.33.239 2 121.194.2.248 2 123.207.242.81 2 123.247.9.244 2 124-149-160-93.dyn.iinet.net.au 2 125.75.207.25 2 1-34-190-108.hinet-ip.hinet.net 2 136.32.156.196 2 136.63.96.92 2 138019133051.ctinets.com 2 138.68.5.130 2 139.59.159.79 2 140.116.234.174 2 140.206.77.100 2 142.103.36.194 2 143.208.26.16 2 146.185.137.234 2 155.133.82.12 2 156.218.61.184 2 158.ip-79-137-39.eu 2 159.134.104.113 2 160.202.161.30 2 171.244.17.144 2 176.62.210.194 2 179.36.123.196 2 180.250.131.137 2 181.211.180.243 2 181.211.206.247 2 181.214.205.130 2 182.172.255.150 2 182.18.153.206 2 182.45.43.33 2 182.47.211.138 2 185.129.148.168 2 185.62.207.152 2 186.178.180.48 2 187.141.70.67 2 187-17-17-156.wln.net.br 2 188.242.12.61 2 190.110.94.97 2 190.147.155.131 2 195.77.119.8 2 197.164.149.245 2 197.231.193.38 2 200.113.195.37 2 200.201.212.164 2 201.177.14.6 2 202.129.29.114 2 210.94.133.41 2 212.185.204.121 2 218.106.244.93 2 218.108.190.176 2 218.109.251.7 2 218.109.251.86 2 218.156.85.17 2 218-161-8-165.hinet-ip.hinet.net 2 218.61.30.235 2 221.163.191.92 2 2.235.171.111 2 223.68.134.29 2 24-119-126-64.cpe.cableone.net 2 24-178-6-41.dhcp.ftwo.tx.charter.com 2 253.red-81-47-169.staticip.rima-tde.net 2 27.214.203.141 2 32.92-220-16.customer.lyse.net 2 34-182-102-121.flets.hi-ho.ne.jp 2 46.159.235.167 2 50.226.124.68 2 51.254.244.30 2 58.143.149.190 2 58.246.118.251 2 59.41.103.97 2 60.13.74.216 2 60.165.208.28 2 60-251-223-115.hinet-ip.hinet.net 2 61.139.124.136 2 61-216-155-200.hinet-ip.hinet.net 2 61.253.205.73 2 62.182.147.112 2 62.232.118.202 2 62.28.200.46 2 69.162.73.83 2 74-194-6-5.rsvlcmta01.com.dyn.suddenlink.net 2 75.152.9.252 2 78-58-187-40.static.zebra.lt 2 79.133.44.138 2 84.123.112.33.dyn.user.ono.com 2 89.218.69.44 2 92-223-234-5.ip276.fastwebnet.it 2 93.123.92.46 2 93-97-193-152.zone5.bethere.co.uk 2 96.57.82.166 2 a89-153-204-27.cpe.netcabo.pt 2 cmz91-4-78-245-236-138.fbx.proxad.net 2 dares03.upc.es 2 dd5766c02.access.telenet.be 2 dns0.sovaya.com 2 ec2-184-169-153-127.us-west-1.compute.amazonaws.com 2 ess17-1-78-207-182-88.fbx.proxad.net 2 exceed5.lnk.telstra.net 2 fa163.63.fix-addr.vsi.ru 2 fl1-220-144-250-182.kng.mesh.ad.jp 2 hod-alm.bb.netvision.net.il 2 host-212-159-139-204.static.as13285.net 2 host66-136-static.9-79-b.business.telecomitalia.it 2 host-79-78-149-184.static.as9105.net 2 host81-142-98-129.in-addr.btopenworld.com 2 host86-164-122-219.range86-164.btcentralplus.com 2 icl2.mit.edu 2 lfbn-1-4966-211.w90-104.abo.wanadoo.fr 2 lmontsouris-656-1-132-151.w193-253.abo.wanadoo.fr 2 m2141.contaboserver.net 2 mail.ess54.info 2 modemcable161.196-22-96.mc.videotron.ca 2 mppscdemo.in 2 net-188-152-201-116.cust.dsl.teletu.it 2 net-2-32-82-130.cust.vodafonedsl.it 2 p2603006-ipngn200902osakachuo.osaka.ocn.ne.jp 2 p2791179-ipngn200908osakachuo.osaka.ocn.ne.jp 2 server.zsgenklapalka.cz 2 smtp.realtytoweb.com 2 static-108-14-52-60.nycmny.fios.verizon.net 2 static-72-80-117-44.nycmny.fios.verizon.net 2 static-96-239-59-131.nycmny.fios.verizon.net 2 tor2r.ins.tor.net.eu.org 2 tor-exit-readme.memcpy.io 3 103.207.39.125 3 118.201.99.25 3 1-34-85-196.hinet-ip.hinet.net 3 61-224-86-155.dynamic-ip.hinet.net 3 ip-45-55-54-196.fr.amsterdamresidential.com 4 103.75.166.56 4 118.151.209.235 4 194.206.113.78.rev.sfr.net 4 36.155.7.4 4 42.159.204.117 4 58.48.178.200 4 61.160.196.107 4 78.159.192.26 4 h83-209-114-167.cust.se.alltele.net 4 lmontsouris-657-1-116-150.w82-127.abo.wanadoo.fr 4 server-176.53.32.252.as42926.net 5 195.154.51.223 6 103.199.228.36 6 111.198.56.205 6 192.168.1.100 6 195.154.39.188 6 210.94.133.8 9 47.90.201.99 9 50.118.255.159 10 201.255.55.153 11 103.77.56.51 12 186.130.102.249 12 201.179.224.220 14 185.200.35.3 17 103.207.39.84 23 91.197.232.11 28 103.207.36.220 36 103.207.37.115 37 103.207.36.226 37 27.73.14.63 45 159.203.93.23 46 91.197.232.108 68 222.99.52.246 69 5.188.10.179 82 60.208.139.180 96 103.89.88.168 106 217.61.18.106 220 138.36.22.14 221 211.249.35.203 281 113.195.145.79 301 5.188.10.182 696 59.63.166.80 791 193.201.224.214 1108 59.63.166.102 4859 218.87.109.150 7136 218.65.30.134 9433 58.218.198.166 14386 58.242.83.17 14386 58.242.83.24 25990 58.218.198.165 |
見てわかりますが、桁違いのアクセスがあります。
これらが問題のアドレスですね。
すぐにでも、ブロックしておきましょう。
とりあえず、auth.logだけの操作でしたが、他のログ・ファイルも同様に調査して、サーバーの健康状態を保つようにしましょう。