根据网络安全监控和日志分析的最佳实践，以下是24小时内查看潜在黑客查询记录的操作步骤及关键位置说明：

一、检查系统登录记录（定位异常访问）

1. Linux系统

命令：

`last -i -s "-24 hours"`：查看24小时内所有登录记录（含IP地址）

`who /var/log/wtmp`：显示当前及历史登录用户

日志文件：

`/var/log/auth.log`（Ubuntu/Debian）

`/var/log/secure`（CentOS/RHEL）

作用：发现异常IP、高频失败登录或非常规时间段的访问。

2. Windows系统

事件查看器路径：

`Windows日志 → 安全 → 筛选事件ID 4624（成功登录）/4625（失败登录）`

筛选时间范围：在右侧操作栏选择“筛选当前日志”，设置时间范围为最近24小时。

二、查看用户操作历史（追踪可疑行为）

1. Linux操作记录

命令：

`history | grep "$(date +%Y-%m-%d)"`：过滤当天命令历史

若配置了增强日志（需提前设置`HISTTIMEFORMAT`），可显示命令执行时间及来源IP。

日志增强配置：

修改`/etc/profile`，添加时间戳和用户信息记录（参考网页49的脚本）。

2. Windows进程监控

使用`PowerShell`命令：

`Get-WinEvent -FilterHashtable @{LogName='Security'; StartTime=(Get-Date).AddHours(-24)}`

重点检查：异常进程创建、注册表修改或敏感文件访问记录。

三、分析网络连接与流量

1. 实时网络监控

Linux命令：

`netstat -antp | grep ESTABLISHED`：查看当前活动连接

`ss -s`：统计24小时内连接状态

工具推荐：

`iftop`：实时流量监控（需安装）

`Wireshark`：抓包分析异常流量模式。

2. 防火墙日志

位置：

Linux：`/var/log/iptables.log`

Windows：`防火墙高级安全 → 监控日志`

检查内容：拦截的异常IP、端口扫描或DDoS攻击特征。

四、审查系统日志与入侵检测

1. 集中化日志分析

工具：

ELK Stack（Elasticsearch, Logstash, Kibana）：聚合多源日志并可视化

Splunk：商业日志分析平台（支持实时告警）

关键日志源：

Web服务器日志（如Nginx/Apache的access.log）

数据库审计日志（如MySQL的general_log）。

2. 入侵检测系统（IDS）

部署方案：

Snort（开源NIDS）：配置规则库检测已知攻击特征（如SQL注入、XSS）

OSSEC（HIDS）：监控文件完整性变化（如`/etc/passwd`被修改）。

操作步骤：

1. 安装并配置规则集（如Emerging Threats规则）。

2. 运行`snort -A console -q -l /var/log/snort -c /etc/snort/snort.conf`启动实时检测。

3. 分析`/var/log/snort/alert`文件中的告警事件。

五、高级工具与云端监控

1. 微软全局安全访问（参考网页23）

操作路径：

`Microsoft Entra管理中心 → 全球安全访问 → 流量日志`

功能：查看24小时内用户访问的网站、连接IP及流量大小，支持按事务ID或连接ID过滤。

2. 云平台日志（如Azure）

步骤：

1. 启用“网络观察程序”并配置流日志存储。

2. 使用KQL（Kusto查询语言）分析指定时间段的异常流量。

注意事项：

1. 日志保护：确保日志文件未被篡改（如设置`chattr +a`防止删除）。

2. 法律合规：未经授权查看他人记录涉嫌违法，仅限自查或授权环境使用。

3. 时效性：部分日志默认滚动覆盖（如Linux的`wtmp`），需提前配置长期存储。

如需进一步分析特定攻击场景（如Web渗透），建议结合漏洞扫描工具（如Nessus）及威胁情报平台（如MISP）进行关联分析。