请参阅档案here
该文件包含Amazon Linux,Centos和Ubuntu的ssh日志。
我想在logstash中编写一个grok模式,它会解析文件并给我预期的结果。
我的问题是:如何获取特定操作系统的日志文件中的所有可能条目,是否有任何文档? 因此,在编写我的grok模式时,它会帮助我。
我希望我的logstash grok中的所有可用操作系统都包含以下案例。
我希望我对自己的问题很清楚。
答案 0 :(得分:1)
我认为您不会找到对日志格式的详细解释,也许我错了。
Here你有一些日志和一些Grok示例。 如果您想要更多Grok预先编写的过滤器,您也可以使用this site。
然后,这是我所有不同情况下的日志。我将我的IP更改为0.0.0.0,删除了我的指纹并将实际登录更改为username
。
登录失败:
5月7日10:18:42 hostname sshd [6734]:pam_unix(sshd:auth):check pass;用户未知
5月7日10:18:44 hostname sshd [6734]:76.123.128.215端口54943 ssh2无效用户支持密码失败
蛮力攻击
5月7日10:18:46 hostname sshd [6734]:断开连接:来自76.123.128.215端口54943 ssh2 [preauth]的无效用户支持的身份验证失败太多
5月7日10:18:46 hostname sshd [6734]:PAM 5更多身份验证失败; logname = uid = 0 euid = 0 tty = ssh ruser = rhost = c-76-123-128-215.hsd1.ms.comcast.net
5月7日10:18:46 hostname sshd [6734]:PAM服务(sshd)忽略最大重试次数; 6> 3
公钥登录:
May 11 17:21:21 hostname sshd [1972]:用户名从0.0.0.0端口接受的公钥43901 ssh2:ED25519 key_fingerprint
May 11 17:21:21 hostname sshd [1972]:pam_unix(sshd:session):为用户用户名打开的会话(uid = 0)
Sudo会话:
May 11 17:21:24 hostname sudo:username:TTY = pts / 1; PWD = / home / username; USER = root; COMMAND = /斌/庆典
5月11日17:21:24 hostname sudo:pam_unix(sudo:session):用户root(uid = 0)打开的会话
密码登录:
5月10日10:36:23 hostname sshd [30746]:用户名的接受密码来自0.0.0.0端口58985 ssh2
5月10日10:36:23 hostname sshd [30746]:pam_unix(sshd:session):用户名为(uid = 0)打开的会话
使用这些日志,您应该能够编写过滤器并提取全面的数据。