peaaegu reaalajas logifaili jälgimine
tail -f /var/log/auth.log
Filtreerimine
sudo -i
cat /var/log/auth.log | grep 192.168.0.2 | grep -i accepted | grep -i publickey
cat kuvab etteantud faili terminali, seda väljundit filtreeritakse grep’i abil korduvalt
mida otsida auth.log failist:
õnnestunud logimised: Accepted
ebaõnnestunud logimised: Failed
salasõnaga: password
võtmefailiga: publickey
grep otsib faili seest:
grep "otsitav" fail.txt #otsing ühest failist
grep "otsitav" *.txt #otsing sama tüüpi failidest
… jutumärgid vastavalt vajadusele ehk siis kui otsitavas märkide jadas on erisümbolid (nt tühik vms), jutumärkide asemel saab kasutada ka ülakoma ' (apostroof, ingl.k. apostrophe)
grep -i accepted /var/log/auth.log #otsime sõna Accepted, accepted (-i ei tee vahet tähesuurusel - tõstutundetu (*case insensitive*))
grep -iw accepted /var/log/auth.log #lisaks tõstutundetule otsitakse vaid eraldi esinevaid sõnu (ei ole sõnaosa)
grep -iv accepted /var/log/auth.log #otsitakse neid tõstutundetuid ridu, mis ei sisalda vastavat sõna ehk siis tulemusena kuvatakse need read, mis vastavat tõstutundetut sõna ei sisalda
grep -iw 'accepted\\|192.168.0.' /var/log/auth.log #otsitakse neid tõstutundetuid ridu, mis sisaldavad nii “accepted” ja lisaks neid ridu, mis sisaldavad vastavat IP-aadressi. Siin tekib teabemüra kuna kuvatakse mõlemad tulemused järjest, oluliselt parema tulemuse annab:
grep -iw accepted /var/log/auth.log | grep 192.168.0.2
analoogselt ebaõnnestunud logimised tööjaamast serverisse:
grep -iw failed /var/log/auth.log | grep 192.168.0.2
analoogselt ebaõnnestunud logimised tööjaamast serverisse võtmefailiga:
grep -iw failed /var/log/auth.log | grep 192.168.0.2 | grep -iw publickey
analoogselt ebaõnnestunud logimised tööjaamast serverisse salasõnaga:
grep -iw failed /var/log/auth.log | grep 192.168.0.2 | grep -iw password
logifaili jälgimine reaalajas (nt serveris kasutajana root)
tail -f /var/log/auth.log