ssh的记录

时间:2017-05-11 10:22:18

标签: linux ssh logstash logstash-grok

请参阅档案here

该文件包含Amazon Linux,Centos和Ubuntu的ssh日志。

我想在logstash中编写一个grok模式,它会解析文件并给我预期的结果。

我的问题是:如何获取特定操作系统的日志文件中的所有可能条目,是否有任何文档? 因此,在编写我的grok模式时,它会帮助我。

我希望我的logstash grok中的所有可用操作系统都包含以下案例。

  • 登录是如何使用密钥或用户名和密码
  • 进行的
  • 登录成功或失败
  • Sudo登录成功或失败
  • 暴力攻击:无效用户的密码失败或尝试可能中断。是否还有其他条目代表相同的内容。

我希望我对自己的问题很清楚。

1 个答案:

答案 0 :(得分:1)

我认为您不会找到对日志格式的详细解释,也许我错了。

Here你有一些日志和一些Grok示例。 如果您想要更多Grok预先编写的过滤器,您也可以使用this site

然后,这是我所有不同情况下的日志。我将我的IP更改为0.0.0.0,删除了我的指纹并将实际登录更改为username

登录失败:

  

5月7日10:18:42 hostname sshd [6734]:pam_unix(sshd:auth):check pass;用户未知

     

5月7日10:18:44 hostname sshd [6734]:76.123.128.215端口54943 ssh2无效用户支持密码失败

蛮力攻击

  

5月7日10:18:46 hostname sshd [6734]:断开连接:来自76.123.128.215端口54943 ssh2 [preauth]的无效用户支持的身份验证失败太多

     

5月7日10:18:46 hostname sshd [6734]:PAM 5更多身份验证失败; logname = uid = 0 euid = 0 tty = ssh ruser = rhost = c-76-123-128-215.hsd1.ms.comcast.net

     

5月7日10:18:46 hostname sshd [6734]:PAM服务(sshd)忽略最大重试次数; 6> 3

公钥登录:

  

May 11 17:21:21 hostname sshd [1972]:用户名从0.0.0.0端口接受的公钥43901 ssh2:ED25519 key_fingerprint

     

May 11 17:21:21 hostname sshd [1972]:pam_unix(sshd:session):为用户用户名打开的会话(uid = 0)

Sudo会话:

  

May 11 17:21:24 hostname sudo:username:TTY = pts / 1; PWD = / home / username; USER = root; COMMAND = /斌/庆典

     

5月11日17:21:24 hostname sudo:pam_unix(sudo:session):用户root(uid = 0)打开的会话

密码登录:

  

5月10日10:36:23 hostname sshd [30746]:用户名的接受密码来自0.0.0.0端口58985 ssh2

     

5月10日10:36:23 hostname sshd [30746]:pam_unix(sshd:session):用户名为(uid = 0)打开的会话

使用这些日志,您应该能够编写过滤器并提取全面的数据。