我已经完成了设置捕获所有失败的ssh登录的新流的任务。我之前从未使用过graylog,而且我对正则表达式非常不满意。
我已经发现你需要创建一个新流,使得所有失败的ssh登录消息都被捕获到该流中,然后对其发出警报。
答案 0 :(得分:0)
您可以仅为示例创建一个流,然后让我们调用它 SSH接受/失败
然后创建一个输入
的规则
字段:消息
type:匹配正则表达式
失败的值:。+ from。+
然后为相同的流创建一个新规则,其值为:。+ from。+
的接受密码然后你将有一个Stream收集SSH的失败和接受登录