如何查看主机暴力破解拦截的记录？

以下是查看主机暴力破解拦截记录的常见方法：

​​一、操作系统自带功能（以常见系统为例）​​

• ​​Linux系统（以CentOS为例）​​

​​使用Fail2Ban工具（如果已安装）​​

日志文件位置：Fail2Ban的日志通常位于“/var/log/fail2ban.log”。可以使用命令行工具查看，如“cat /var/log/fail2ban.log”或者“less /var/log/fail2ban.log”来查看其中关于暴力破解拦截的详细信息，包括被拦截的IP地址、尝试登录的服务、时间等信息。

​​系统自带防火墙（iptables或firewalld）​​

如果使用iptables，可通过查看系统日志文件（如“/var/log/messages”或者“/var/log/syslog”，具体取决于系统配置）来获取与iptables规则相关的拦截记录。对于与暴力破解拦截相关的记录，可能需要查找包含特定端口（如SSH的22端口）连接被拒绝且来源IP有异常特征的信息。

对于firewalld，日志文件位置可能因发行版而异。在一些系统中，可在“/var/log/firewalld”下查看相关日志，其中可能包含对暴力破解尝试的拦截记录，例如来自同一IP的频繁连接请求被拒绝的记录。

• ​​Windows系统​​

​​事件查看器​​

打开事件查看器（可以通过运行“eventvwr.msc”打开）。

在“Windows日志” - “安全”中，可以查看与账户登录相关的事件。对于暴力破解拦截相关的记录，可能会显示账户锁定事件（如果启用了账户锁定策略来防范暴力破解），其中包含尝试登录的IP地址（如果有记录）、尝试登录的账户名、失败原因（如多次密码错误）以及时间等信息。

​​二、网络设备（如防火墙、路由器等）​​

• ​​防火墙设备​​

登录防火墙管理界面（不同品牌有不同界面，如Cisco ASA防火墙通过Web界面或命令行界面）。

查找与访问控制或入侵防御相关的日志部分。例如，在Cisco ASA防火墙中，可以通过命令行输入“show logging”查看系统日志，其中包含与访问控制策略相关的记录，如对特定端口（如HTTP的80端口、SSH的22端口等）的访问被拒绝的情况，可能是由于暴力破解拦截规则导致的。一些高级防火墙还提供专门的入侵防御日志，可直接查看与暴力破解相关的拦截记录，包括攻击源IP、攻击时间、目标端口等信息。

• ​​路由器设备​​

登录路由器管理界面（通常通过浏览器输入路由器的IP地址，如192.168.1.1）。

查找与访问控制或安全相关的日志部分。如果路由器支持端口转发规则中的访问限制并且触发了暴力破解拦截，可能会在这里记录相关信息，如某个IP对转发端口的频繁连接尝试被阻止的记录，包括IP地址、尝试时间等信息。

​​三、应用程序自身功能（如果主机运行特定应用程序）​​

• ​​数据库管理系统（如MySQL）​​

在MySQL中，可以查看错误日志文件（其位置可在MySQL配置文件中指定，通常为“/var/log/mysql/error.log”之类的路径）。如果设置了与暴力破解防范相关的参数（如max_connect_errors限制连接错误次数），当达到限制时，可能会在错误日志中记录相关信息，如来自某个IP的过多连接错误尝试，这可能与暴力破解拦截相关。

• ​​Web服务器（如Apache或Nginx）​​

​​Apache​​

查看Apache的错误日志文件（通常为“/var/log/httpd/error_log”或者“/var/log/apache2/error.log”）。如果设置了访问限制（如Limit指令用于限制特定目录或页面的访问频率）并且触发了拦截，可能会在这里记录相关信息，如某个IP在短时间内过多的请求被拒绝的情况，可能是由于防范暴力破解或DDoS攻击的访问控制导致的。

​​Nginx​​

查看Nginx的错误日志文件（通常为“/var/log/nginx/error.log”）。如果配置了如“limit_req_zone”和“limit_req”指令来限制请求频率并且触发了拦截，日志中可能会记录被限制的IP地址、请求的URL以及被拒绝的时间等信息。