查看方式

• 命令行查看使用sudo cat /var/log/secure | grep sshd查看包含“sshd”的日志条目；sudo less /var/log/secure可分页查看。若用journalctl 可施行sudo journalctl -u sshd还能通过--since--until指定时间段，-k搜索关键字。
• 图形化工具查看可使用Logwatch等工具， 能以图形化方式展示日志信息，便于分析。

分析方法

• 基础分析用grep 'Failed password' /var/log/secure查看失败登录尝试；grep 'Accepted password' /var/log/secure查看成功登录记录。结合awk sortuniq等命令统计登录次数、分析来源IP等，如sudo grep 'Failed password' /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr可统计失败尝试次数并按IP排序。
• 高级分析通过分析日志中的时间戳、 事件类型等，识别异常行为，如短时间内大量失败登录可能是暴力破解。还可利用GeoIP工具获取攻击者地理位置，辅助判断平安威胁。

---