如何查询ECS实例的远程登录信息

免责声明: 本文档可能包含第三方产品信息,该信息仅供参考。阿里云对第三方产品的性能、可靠性以及操作可能带来的潜在影响,不做任何暗示或其他形式的承诺。

概述

通过查看阿里云ECS实例的远程登录信息,可以有效的进行故障定位和安全分析,本文主要介绍如何查看阿里云ECS实例的远程登录信息。

详细信息

阿里云提醒您:

  • 如果您对实例或数据有修改、变更等风险操作,务必注意实例的容灾、容错能力,确保数据安全。
  • 如果您对实例(包括但不限于ECS、RDS)等进行配置与数据修改,建议提前创建快照或开启RDS日志备份等功能。
  • 如果您在阿里云平台授权或者提交过登录账号、密码等安全信息,建议您及时修改。

不同操作系统查看远程登录信息的方法不同,请根据现场实际情况,选择下列对应的步骤。

Linux实例查看远程登录信息的方法

  1. 通过管理终端连接Linux实例,详情请参见连接方式概述
  2. 使用root用户执行以下命令,查看远程登录Linux实例的客户端的信息。
    last
    系统显示类似如下,可查看客户端名称和客户端地址,及事件记录时间等信息,通过该信息分析服务器是否存在安全隐患。
    说明:若发现异常客户端登录实例,可通过只允许特定IP地址远程登录到实例,详见安全组应用案例只允许特定IP地址远程登录到实例章节。
    Dingtalk_20210331171633.jpg
    说明:下列内容为last命令输出结果的注解: 
    • 第一列:用户名。
    • 第二列:登录终端,若为pts/0表示伪终端指 ssh命令或telnet命令远程连接用户,tty指本地连接用户。
    • 第三列:登录IP地址或者内核 。若为0.0或无内容,表示用户从本地终端连接。除重启操作,内核版本会显示在状态中。
    • 第四列:开始时间。
    • 第五列:结束时间(still logged in状态:用户未退出,down状态:直到正常关机,crash状态:直到强制关机)。
    • 第六列:持续时间。

Windows系统查看远程登录信息的方法

  1. 通过管理终端连接Windows实例,详情请参见连接方式概述
  2. 选择开始,右键单击运行,在运行框中输入eventvwr.msc,单击确定
  3. 打开事件查看器页面,依次选择Windows 日志>安全,单击筛选当前日志
    Dingtalk_20210331164711.jpg
  4. 筛选当前日志页面,在所有事件 ID框中输入4648,单击确定,系统会列出符合筛选条件的日志,双击对应的事件日志。
    Dingtalk_20210331165013.jpg
  5. 事件属性页面,单击详细信息,可查看客户端名称和客户端地址,及事件记录时间等信息,通过该信息分析服务器是否存在安全隐患。
    说明:若发现异常客户端登录实例,可通过只允许特定IP地址远程登录到实例,详见安全组应用案例只允许特定IP地址远程登录到实例章节。
    Dingtalk_20210331165802.jpg
    说明:
    • IpAddress字段为远程登录过该Windows实例的客户端的IP地址。
    • IpPort字段为远程登录过该Windows实例的客户端的端口。

适用于

  • 云服务器ECS