如何查看 Linux 系统的历史连接记录？

在Linux系统中，连接记录是网络管理、安全审计和故障排查的重要依据，通过分析连接记录，管理员可以实时掌握系统的网络活动，识别异常连接，追溯安全事件，并优化网络性能，本文将详细介绍Linux系统中连接记录的查看方法、日志管理工具以及实际应用场景,帮助读者全面理解如何有效利用这些信息进行系统维护。

查看实时连接记录

实时连接记录能够反映系统当前的网络活动状态，是排查即时问题的重要手段，Linux提供了多种命令来查看实时连接，其中最常用的是netstat和ss命令。

使用netstat命令

netstat是一个传统的网络工具，可以显示网络连接、路由表、接口统计等信息，通过不同选项的组合,可以获取详细的连接状态：

• netstat -an：显示所有连接（-a），并以数字形式展示地址和端口（-n）,避免DNS解析延迟。
• netstat -tuln：仅显示监听的TCP（-t）和UDP（-u）连接,适合检查服务端口是否正常开放。
• netstat -p：显示每个连接对应的进程ID和进程名,便于定位占用端口的程序。

执行netstat -tuln会输出类似以下内容：

Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN
udp        0      0 0.0.0.0:68              0.0.0.0:*

LISTEN表示端口处于监听状态，ESTABLISHED表示已建立的连接。

使用ss命令

ss是netstat的替代工具，在性能上更优，尤其是在处理大量连接时。ss默认显示的连接信息更简洁,且支持更多过滤条件：

• ss -tuln：功能与netstat -tuln类似,但输出速度更快。
• ss -tp：显示TCP连接及其对应的进程信息。
• ss -state ESTABLISHED：仅显示状态为ESTABLISHED的连接。

ss -tuln的输出示例：

Netid State      Recv-Q Send-Q Local Address:Port               Peer Address:Port
tcp   LISTEN     0      128    0.0.0.0:22                     0.0.0.0:*
tcp   LISTEN     0      80     127.0.0.1:3306                  0.0.0.0:*

ss命令还支持-4（IPv4）、-6（IPv6）等选项,可按协议版本过滤连接。

查看历史连接记录

实时连接记录无法反映历史网络活动，而历史连接记录通常存储在系统日志中,可通过日志工具进行分析。

系统日志中的连接记录

Linux系统的网络连接日志通常由syslog或journald服务管理，记录在/var/log/目录下,常见的日志文件包括：

• /var/log/messages：记录系统级别的日志,包括部分网络连接信息。
• /var/log/secure：记录与安全相关的日志，如SSH登录、远程连接等。
• /var/log/kern.log：记录内核级别的网络事件。

通过grep "sshd" /var/log/secure可以查看SSH服务的连接历史记录，包括登录IP、时间、用户名等信息。

使用journalctl查看日志

对于使用systemd的系统，journalctl是查看日志的主要工具,通过过滤选项可以快速定位连接相关的日志：

• journalctl -u ssh：查看SSH服务的日志。
• journalctl -f _SYSTEMD_UNIT=ssh.service：实时监控SSH服务的日志。
• journalctl --since "2023-10-01" --until "2023-10-02"：查看指定时间范围内的日志。

journalctl -u ssh | grep "Accepted"可以显示所有成功的SSH登录记录。

连接记录的过滤与分析

在实际应用中，连接记录往往数量庞大，需要通过过滤和分析快速定位关键信息,以下是常用的过滤方法和工具。

按 IP 地址过滤

使用grep命令可以按IP地址过滤连接记录。

• netstat -an | grep "192.168.1.100"：查看与IP168.1.100相关的所有连接。
• ss -tuln | grep ":22"：查看所有涉及SSH端口（22）的连接。

按端口过滤

通过指定端口号,可以快速检查特定服务的连接状态。

• netstat -an | grep ":3306"：查看MySQL数据库端口（3306）的连接情况。
• ss -tuln | grep -E ":80|:443"：查看Web服务端口（80和443）的监听状态。

使用lsof命令

lsof（list open files）可以查看进程打开的文件，包括网络连接，通过lsof -i选项可以按网络条件过滤：

• lsof -i :22：查看占用22端口的进程。
• lsof -i -P -n：显示所有网络连接,不解析主机名和端口名。

连接状态统计

使用awk或sort命令可以对连接状态进行统计。

• netstat -an | awk '/^tcp/ {print $6}' | sort | uniq -c：统计TCP连接各状态的数量。
• ss -state ESTABLISHED | wc -l：统计已建立的连接数。

以下是TCP连接状态统计的示例输出：

LISTEN      5
ESTABLISHED 12
TIME_WAIT   8

TIME_WAIT表示连接已关闭但等待超时，是正常状态；若ESTABLISHED连接数异常增多,可能存在大量并发连接。

连接记录的安全应用

连接记录是安全审计的核心数据，可用于检测入侵行为、分析攻击手段等。

检测异常连接

通过分析连接记录,可以识别异常行为，

• 高频连接：短时间内同一IP多次尝试连接敏感端口（如22、3389）,可能是暴力破解攻击。
• 异常端口连接：发现未知IP连接非标准端口（如12345）,可能存在后门程序。
• 大量TIME_WAIT连接：若TIME_WAIT状态连接数持续过高，可能遭受SYN Flood攻击。

入侵追溯

当系统遭受入侵时，通过连接记录可以追溯攻击者的来源IP、攻击时间和目标端口。

• 检查/var/log/secure中失败的SSH登录记录,定位暴力破解的IP。
• 分析netstat -an中的ESTABLISHED连接，发现异常外联IP,判断是否存在数据泄露。

安全加固建议

根据连接记录分析结果,可采取以下安全措施：

• 使用iptables或firewalld防火墙限制来自异常IP的连接。
• 修改服务的默认端口,减少被攻击的风险。
• 启用SSH密钥认证，禁用密码登录,防止暴力破解。

连接记录的日志管理

长期存储和分析连接记录需要合理的日志管理策略，包括日志轮转、归档和监控。

日志轮转

logrotate是Linux常用的日志轮转工具，可自动分割、压缩和清理日志文件，配置/etc/logrotate.d/sshd对SSH日志进行轮转：

/var/log/secure {
    daily
    rotate 7
    compress
    missingok
    notifempty
}

此配置表示每天轮转一次日志，保留7天的历史记录,并压缩旧日志。

日志集中管理

对于多台服务器，可将日志集中存储到日志服务器（如ELK Stack：Elasticsearch、Logstash、Kibana），便于统一分析和监控，通过rsyslog或syslog-ng工具,可将服务器的连接日志实时传输到日志服务器。

日志监控

使用fail2ban工具可以监控连接日志，并自动封禁恶意IP，监控/var/log/secure中的失败SSH登录，并调用iptables封禁IP：

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/secure
maxretry = 3
bantime = 3600

此配置表示在1小时内，若同一IP有3次失败的SSH登录，则封禁该IP 1小时。

Linux连接记录是系统管理和安全防护的重要资源，通过netstat、ss等工具可实时查看连接状态，通过系统日志和journalctl可追溯历史连接，结合过滤和分析方法可快速定位问题，在安全领域，连接记录用于检测异常、追溯入侵，并通过日志管理策略实现长期监控，掌握连接记录的查看与分析技巧，不仅能提升系统运维效率，还能有效保障系统的安全稳定运行，管理员应根据实际需求，选择合适的工具和方法，建立完善的连接记录管理机制,充分发挥其在系统维护中的作用。