Herausfinden der IP-Adresse, die zum letzten Neustart unter Linux geführt hat

424
TheTanadu

Hallo, ich versuche herauszufinden, wer auf meinem Server den letzten Neustart durchgeführt hat.

Ich weiß, dass Befehle last reboot | head -1und last -d rebootsie zeigen aber keine IP von dem, was Client - IP es gemacht wurde.

Ich habe einen Linux-CentOS7-Server.

Ich weiß, es ist schwer zu finden, aber vielleicht kann jemand helfen, ich habe jetzt keine Ideen.

Grüße

1
Wenn es über `ssh` erledigt wurde, schauen Sie in` auth.log` nach, wer zu dieser Zeit eingeloggt war. LawrenceC vor 5 Jahren 0
Es war das Problem, dass ich angemeldet war und jemand anderes zur gleichen Zeit, und ich wusste nicht, dass "jemand" `reboot` gemacht hat ... und ich möchte wissen, welche IP er hat TheTanadu vor 5 Jahren 0
IIRC diese Datei teilt Ihnen die IP-Adressen derjenigen mit, die sich anmelden. LawrenceC vor 5 Jahren 0
: Denken: Welches Werkzeug schlagen Sie vor? Schwer zu finden über IIRC-Tools TheTanadu vor 5 Jahren 0
Ich habe herausgefunden, dass in `/ log / var /` ich nicht `auth.log` habe - ich habe darüber gelesen, dass alles an` / var / log / secure` übergeben wird, aber dort konnte ich nicht einmal `grep reboot` etwas TheTanadu vor 5 Jahren 0
"IIRC" bedeutet "wenn ich mich richtig erinnere" gronostaj vor 5 Jahren 0

2 Antworten auf die Frage

1
John Smith

Ich würde vorschlagen, die ersten Benutzer zu verfolgen, die den rebootBefehl ausgegeben haben. Dies kann mit einem Linux- auditSystem erfolgen. Sehen Sie die Antworten hier für Details. Wenn Sie den Benutzernamen kennen, können Sie mit der Nachverfolgung der IP-Adresse fortfahren.

1
Gytis

Wenn der Server von einem angemeldeten Benutzerbefehl neu gestartet wurde last | less, erhalten Sie einen Überblick über die am Computer angemeldeten Personen, den Zeitpunkt der Anmeldung und die IP-Adresse des Verbindungsgeräts. Suchen Sie nach einer Zeit, zu der der Server neu gestartet wurde, und prüfen Sie, wer zu diesem Zeitpunkt angemeldet war.

Wenn zu diesem Zeitpunkt mehrere Benutzer angemeldet waren und Sie über Root-Zugriff verfügen, können Sie die .bash_historyDateien in den Profilverzeichnissen überprüfen (für CentOS sollte sich irgendwo in befinden, /homez. B. wenn Ihr Server Teil einer Domäne / home / domain / username ist).

Wenn Sie gerade nach einem "Neustart" -Befehl suchen, würde ich auch bemerken, dass shutdown -rder Server auch neu gestartet wird, damit Sie nicht erwischt werden.