请参考这里的文件
该文件包含 Amazon Linux、Centos 和 Ubuntu 的 ssh 日志。
我想在 logstash 中编写一个 grok 模式,它将解析文件并给我预期的结果。
我的问题是:如何在特定操作系统的日志文件中获取所有可能的条目,是否有任何相关文档?以便在编写我的 grok 模式时对我有所帮助。
我希望我的 logstash grok 中的所有可用操作系统都涵盖以下情况。
我希望我的问题很清楚。
我不认为你会找到日志格式的详细解释,也许我错了。
这里有一些日志示例和一个 Grok 示例。如果您想要更多 Grok 预先编写的过滤器,您也可以使用此站点。
然后,这是我所有不同情况的日志。我将我的 IP 更改为 0.0.0.0,删除了我的指纹并将实际登录更改为username.
登录失败:
5 月 7 日 10:18:42 主机名 sshd[6734]:pam_unix(sshd:auth):检查通过;用户未知
5 月 7 日 10:18:44 主机名 sshd[6734]:来自 76.123.128.215 端口 54943 ssh2 的无效用户支持的密码失败
蛮力攻击 :
5 月 7 日 10:18:46 主机名 sshd[6734]:断开连接:来自 76.123.128.215 端口 54943 ssh2 [preauth] 的无效用户支持的身份验证失败太多
5 月 7 日 10:18:46 主机名 sshd[6734]:PAM 5 次身份验证失败;日志名= uid=0 euid=0 tty=ssh ruser= rhost=c-76-123-128-215.hsd1.ms.comcast.net
5 月 7 日 10:18:46 主机名 sshd[6734]:PAM 服务(sshd)忽略最大重试次数;6 > 3
公钥登录:
5 月 11 日 17:21:21 主机名 sshd[1972]:接受来自 0.0.0.0 端口 43901 ssh2 的用户名公钥:ED25519 key_fingerprint
5 月 11 日 17:21:21 主机名 sshd[1972]:pam_unix(sshd:session):为用户用户名打开的会话 (uid=0)
须藤会话:
5 月 11 日 17:21:24 主机名 sudo:用户名:TTY=pts/1;密码=/home/用户名;用户=根;命令=/bin/bash
5 月 11 日 17:21:24 主机名 sudo:pam_unix(sudo:session):通过用户名 (uid=0) 为用户 root 打开的会话
密码登录:
5 月 10 日 10:36:23 主机名 sshd[30746]:接受来自 0.0.0.0 端口 58985 ssh2 的用户名密码
5 月 10 日 10:36:23 主机名 sshd[30746]:pam_unix(sshd:session):为用户用户名打开的会话 (uid=0)
使用这些日志,您应该能够编写过滤器并提取全面的数据。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句