一、登录记录查询方法
阿里云提供多种方式查看服务器登录记录,帮助管理员快速掌握系统访问动态:
- 控制台可视化查询
通过控制台 > 云服务器ECS > 实例详情 > 日志管理,可查看包含时间戳、来源IP、用户名的完整登录记录。支持按时间范围筛选和导出CSV文件 - 命令行工具检索
Linux系统可使用last命令查看近期登录记录,lastb显示失败尝试,Windows系统通过事件查看器筛选事件ID 4648日志
# 查看最近10次成功登录 last -n 10 # 统计失败登录次数 lastb | wc -l
二、安全审计操作流程
通过云审计服务(ActionTrail)实现全量操作跟踪:
- 开通云审计服务后自动记录所有API调用和管控操作
- 配置审计范围时需覆盖全部地域和事件类型,避免漏审风险
- 设置OSS存储桶保存90天以上日志,满足等保合规要求
建议每周检查审计日志,重点关注敏感操作(如安全组变更、密钥修改)和异常时间段活动
三、访问IP记录管理
在ECS实例的网络与安全页面,可实施以下管控策略:
- 设置IP白名单限制特定地址访问,降低暴力破解风险
- 分析历史访问IP记录,识别异常地理位置或代理服务器访问
- 结合安全组日志与Nginx/Apache访问日志进行关联分析
四、安全操作最佳实践
综合登录记录与审计数据,建议实施以下安全措施:
- 启用双因素认证(2FA)强化账号安全
- 定期轮换SSH密钥对,避免长期使用相同密钥
- 配置云监控告警策略,实时通知异常登录事件
通过整合登录记录查询、云审计服务与访问控制策略,企业可构建三层防护体系:
1) 实时监控层:通过控制台和API实现操作可视化
2) 日志分析层:利用AWStats等工具进行深度行为分析
3) 主动防御层:基于审计结果动态调整安全策略
