/var/log/secure 一般用来记录安全相关的信息,记录最多的是哪些用户登录服务器的相关日志,如果该文件很大,说明有人在破解你的 root 密码
[root@localhost ~]$ tail /var/log/secure Dec 27 14:04:51 139 sshd[30956]: Disconnecting: Too many authentication failures [preauth] Dec 27 14:04:53 139 sshd[30968]: Invalid user user from 193.201.224.12 port 26133 Dec 27 14:04:53 139 sshd[30968]: input_userauth_request: invalid user user [preauth] Dec 27 14:05:01 139 sshd[30968]: Disconnecting: Change of username or service not allowed: (user,ssh-connection) -> (User,ssh-connection) [preauth] Dec 27 14:05:03 139 sshd[30996]: Invalid user User from 193.201.224.12 port 43273
可以分为几个字段来描述这些事件信息:
1. 事件的日期和时间
2. 事件的来源主机 ( 通常是写主机名 )
3. 产生这个事件的程序[进程号]
4. 实际的日志信息