在 Linux 系統中，安全日志通常存儲在 /var/log/secure 或 /var/log/auth.log 文件中

1. 查看安全日志：

   使用 cat、less 或 tail 命令查看安全日志文件。例如：

   cat /var/log/secure
   less /var/log/secure
   tail -f /var/log/secure
   

2. 過濾日志內容：

   使用 grep 命令根據關鍵字過濾日志內容。例如，查找包含 “ssh” 的日志條目：

   grep 'ssh' /var/log/secure
   

3. 定期清理日志：

   為了防止日志文件占用過多磁盤空間，可以使用 logrotate 工具定期輪轉和清理日志文件。編輯 /etc/logrotate.conf 文件，添加以下內容：

   /var/log/secure {
       weekly
       rotate 4
       compress
       missingok
       notifempty
       create 0640 root adm
       postrotate
           /sbin/service rsyslog reload > /dev/null 2>&1 || true
       endscript
   }
   

   這將每周輪轉一次安全日志，保留最近 4 個日志文件。根據需要調整輪轉頻率和保留數量。

4. 設置日志級別：

   編輯 /etc/rsyslog.conf 文件，設置日志級別。例如，將日志級別設置為 “warning”：

   *.warning /var/log/secure
   

   這將僅記錄警告和更高級別的日志條目。根據需要調整日志級別。

5. 監控日志文件：

   使用 inotify 工具監控日志文件的變化。例如，當日志文件發生變化時，發送電子郵件通知：

   inotifywait -m /var/log/secure --timefmt '%d/%m/%y %H:%M' --format '%T %w %e %f' | while read DATE TIME DIR EVENT FILE; do
       mail -s "Security log updated: $FILE" user@example.com < /var/log/secure
   done
   

   這將在日志文件發生變化時發送電子郵件通知。根據需要調整郵件地址和通知方式。

通過以上方法，你可以有效地管理 Linux 系統中的安全日志。請根據實際需求調整配置參數。