Linux ssh的记录_Linux_Ssh_Logstash_Logstash Grok

Linux ssh的记录

linux ssh logstash

Linux ssh的记录,linux,ssh,logstash,logstash-grok,Linux,Ssh,Logstash,Logstash Grok,请查阅档案该文件包含Amazon Linux、Centos和Ubuntu的ssh日志我想在logstash中编写一个grok模式，它将解析文件并给出预期的结果我的问题是：如何获取特定操作系统日志文件中所有可能的条目，是否有相关文档？这样在我写grok模式的时候会有帮助我想在我的logstash grok中涵盖所有可用操作系统的以下情况登录是如何进行的，无论是使用密钥还是用户名和密码登录成功或失败 Sudo登录成功或失败暴力力量攻击：无效用户的密码失败或尝试中断。是否有其他代表相

请查阅档案

该文件包含Amazon Linux、Centos和Ubuntu的ssh日志

我想在logstash中编写一个grok模式，它将解析文件并给出预期的结果

我的问题是：如何获取特定操作系统日志文件中所有可能的条目，是否有相关文档？这样在我写grok模式的时候会有帮助

我想在我的logstash grok中涵盖所有可用操作系统的以下情况

登录是如何进行的，无论是使用密钥还是用户名和密码
登录成功或失败
Sudo登录成功或失败
暴力力量攻击：无效用户的密码失败或尝试中断。是否有其他代表相同内容的条目

我希望我的问题很清楚。

我想你找不到关于日志格式的详细解释，也许我错了

您有一些日志示例和一个小的Grok示例。如果你想要更多的Grok预写过滤器，你也可以使用

那么，这是我为你所有不同的案件所做的记录。我将IPs改为0.0.0.0，删除指纹，并将实际登录改为

用户名

登录失败：

May 7 10:18:42主机名sshd[6734]：pam_unix（sshd:auth）：检查通过；用户未知

May 7 10:18:44主机名sshd[6734]：来自76.123.128.215端口54943 ssh2的无效用户支持的失败密码

暴力攻击：

May 7 10:18:46主机名sshd[6734]：断开连接：由于76.123.128.215端口54943 ssh2[preauth]的无效用户支持，身份验证失败过多

5月7日10:18:46主机名sshd[6734]：PAM 5更多身份验证失败；logname=uid=0 euid=0 tty=ssh ruser=rhost=c-76-123-128-215.hsd1.ms.comcast.net

May 7 10:18:46主机名sshd[6734]：PAM服务（sshd）忽略最大重试次数；6>3

公钥登录：

May 11 17:21:21 hostname sshd[1972]：从0.0.0.0端口43901 ssh2接受用户名公钥：ED25519 key\u

May 11 17:21:21主机名sshd[1972]：pam_unix（sshd:session）：为用户用户名（uid=0）打开的会话

Sudo会话：

May 11 17:21:24主机名sudo:username:TTY=pts/1；PWD=/home/username；用户=根用户；COMMAND=/bin/bash

May 11 17:21:24主机名sudo:pam_unix（sudo:session）：通过用户名（uid=0）为root用户打开会话

密码登录：

May 10 10:36:23主机名sshd[30746]：从0.0.0.0端口58985 ssh2接受用户名密码

May 10 10:36:23主机名sshd[30746]：pam_unix（sshd:session）：为用户用户名（uid=0）打开的会话

有了这些日志，您应该能够编写过滤器并提取全面的数据