Linux Authentication Log

Merhaba, bu kılavuzda linux sunucu üzerinde log yönetimi ile ilgili kısa bilgiler aktaracağım. Günümüzde sisteme ait log kayıtları, büyük önem taşımaktadır. Sisteme başarılı veya başarısız giriş yapan kullanıcıları takip etmeliyiz ve buna ek olarak SIEM gibi ürünler ile alarmlar oluşturmamız gerekmektedir. Artık bunu hem yasal hemde güvenlik için zorunlu olarak düşünmek yanlış olmayacaktır. Dağıtımlara göre, /var/log/auth.log veya /var/log/secure dosyaları, hem başarılı hem de başarısız oturum açmalar ve kimlik doğrulama yöntemleri dahil olmak üzere kimlik doğrulama günlüklerini depolar.

Linux üzerinde log dosyaları düz metin olarak /var/log dizini altında toplanır. Sistem üzerinde giriş yapan kullanıcı logları dışında, her aktivite için log tutulduğunu bilmekte fayda var. Yani bir paket yükleyip kaldırdığınız, Apache, Nginix gibi web sunucularına erişimler, sistem gibi bir çok log tutulmaktadır. Biz bu makalede, kimlik erişim loglarına bakacağız.

RHEL | Oracle | Centos

Linux üzerinde, eğer bir dosya anlık olarak değişiyor ise özelikle log okurken, tail komutunu kullanmak çok faydalı olacaktır. Günlükler, sorunun son bölümünü gösterdiği için tail çok kullanışlı bir araç haline gelmektedir. Sistem üzerinde oturum açmadan önce ilgili dosyamı süper kullanıcı olarak tail komutu ile bir kenarda açıyorum.

sudo tail -f /var/log/secure 

Şimdi putty vb. bir araçtan sistem üzerinde oturum açıyorum. Görseldeki gibi from kısmında hangi ip üzerinden bağlantı yapıldığını görebilirsiniz.

Oturum açma yeşil, oturum kapatma işlemi mavi, hatalı giriş ise sarı renk olarak işaretlenmiştir.

Bu görselde ile GUI tabanlı üzerinden oturum açılmış log çıktıları gözükmektedir. Uzaktan bağlantı sağlanmadığı için herhangi bir ip bilgisi vermemektedir.