Linux ssh的记录
请查阅档案 该文件包含Amazon Linux、Centos和Ubuntu的ssh日志 我想在logstash中编写一个grok模式,它将解析文件并给出预期的结果 我的问题是:如何获取特定操作系统日志文件中所有可能的条目,是否有相关文档? 这样在我写grok模式的时候会有帮助 我想在我的logstash grok中涵盖所有可用操作系统的以下情况Linux ssh的记录,linux,ssh,logstash,logstash-grok,Linux,Ssh,Logstash,Logstash Grok,请查阅档案 该文件包含Amazon Linux、Centos和Ubuntu的ssh日志 我想在logstash中编写一个grok模式,它将解析文件并给出预期的结果 我的问题是:如何获取特定操作系统日志文件中所有可能的条目,是否有相关文档? 这样在我写grok模式的时候会有帮助 我想在我的logstash grok中涵盖所有可用操作系统的以下情况 登录是如何进行的,无论是使用密钥还是用户名和密码 登录成功或失败 Sudo登录成功或失败 暴力力量攻击:无效用户的密码失败或尝试中断。是否有其他代表相
- 登录是如何进行的,无论是使用密钥还是用户名和密码
- 登录成功或失败
- Sudo登录成功或失败
- 暴力力量攻击:无效用户的密码失败或尝试中断。是否有其他代表相同内容的条目
我希望我的问题很清楚。我想你找不到关于日志格式的详细解释,也许我错了 您有一些日志示例和一个小的Grok示例。 如果你想要更多的Grok预写过滤器,你也可以使用 那么,这是我为你所有不同的案件所做的记录。我将IPs改为0.0.0.0,删除指纹,并将实际登录改为
用户名
登录失败:
May 7 10:18:42主机名sshd[6734]:pam_unix(sshd:auth):检查通过;用户未知
May 7 10:18:44主机名sshd[6734]:来自76.123.128.215端口54943 ssh2的无效用户支持的失败密码
暴力攻击:
May 7 10:18:46主机名sshd[6734]:断开连接:由于76.123.128.215端口54943 ssh2[preauth]的无效用户支持,身份验证失败过多
5月7日10:18:46主机名sshd[6734]:PAM 5更多身份验证失败;logname=uid=0 euid=0 tty=ssh ruser=rhost=c-76-123-128-215.hsd1.ms.comcast.net
May 7 10:18:46主机名sshd[6734]:PAM服务(sshd)忽略最大重试次数;6>3
公钥登录:
May 11 17:21:21 hostname sshd[1972]:从0.0.0.0端口43901 ssh2接受用户名公钥:ED25519 key\u
May 11 17:21:21主机名sshd[1972]:pam_unix(sshd:session):为用户用户名(uid=0)打开的会话
Sudo会话:
May 11 17:21:24主机名sudo:username:TTY=pts/1;PWD=/home/username;用户=根用户;COMMAND=/bin/bash
May 11 17:21:24主机名sudo:pam_unix(sudo:session):通过用户名(uid=0)为root用户打开会话
密码登录:
May 10 10:36:23主机名sshd[30746]:从0.0.0.0端口58985 ssh2接受用户名密码
May 10 10:36:23主机名sshd[30746]:pam_unix(sshd:session):为用户用户名(uid=0)打开的会话
有了这些日志,您应该能够编写过滤器并提取全面的数据