ssh 的记录
Records for ssh
请参考文件here
该文件包含 Amazon Linux、Centos 和 Ubuntu 的 ssh 日志。
我想在 logstash 中编写一个 grok 模式,它将解析文件并给我预期的结果。
我的问题是:如何获取特定 OS 日志文件中所有可能的条目,是否有关于此的文档?
这样它会在我编写 grok 模式时帮助我。
我希望我的 logstash grok 中的所有可用 OS 涵盖以下情况。
- 登录是如何进行的,是使用密钥还是用户名和密码
- 登录成功或失败
- sudo登录成功或失败
- 暴力攻击:无效用户的密码失败或可能的破解尝试。是否有任何其他代表相同的条目。
我希望我的问题很清楚。
我认为您不会找到日志格式的详细解释,也许我错了。
Here 你有一些日志示例和一些 Grok 示例。
如果你想要更多 Grok 预写过滤器,你也可以使用 this site.
然后,这是我针对您所有不同案例的日志。我将我的 IP 更改为 0.0.0.0,删除了我的指纹并将实际登录更改为 username。
登录失败:
May 7 10:18:42 hostname sshd[6734]: pam_unix(sshd:auth): check pass; user unknown
May 7 10:18:44 hostname sshd[6734]: Failed password for invalid user support from 76.123.128.215 port 54943 ssh2
暴力破解:
May 7 10:18:46 hostname sshd[6734]: Disconnecting: Too many authentication failures for invalid user support from 76.123.128.215 port 54943 ssh2 [preauth]
May 7 10:18:46 hostname sshd[6734]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=c-76-123-128-215.hsd1.ms.comcast.net
May 7 10:18:46 hostname sshd[6734]: PAM service(sshd) ignoring max retries; 6 > 3
Public 按键登录:
May 11 17:21:21 hostname sshd[1972]: Accepted publickey for username from 0.0.0.0 port 43901 ssh2: ED25519 key_fingerprint
May 11 17:21:21 hostname sshd[1972]: pam_unix(sshd:session): session opened for user username by (uid=0)
Sudo 会话:
May 11 17:21:24 hostname sudo: username : TTY=pts/1 ; PWD=/home/username ; USER=root ; COMMAND=/bin/bash
May 11 17:21:24 hostname sudo: pam_unix(sudo:session): session opened for user root by username(uid=0)
密码登录:
May 10 10:36:23 hostname sshd[30746]: Accepted password for username from 0.0.0.0 port 58985 ssh2
May 10 10:36:23 hostname sshd[30746]: pam_unix(sshd:session): session opened for user username by (uid=0)
有了这些日志,您应该能够编写过滤器并提取全面的数据。
请参考文件here
该文件包含 Amazon Linux、Centos 和 Ubuntu 的 ssh 日志。
我想在 logstash 中编写一个 grok 模式,它将解析文件并给我预期的结果。
我的问题是:如何获取特定 OS 日志文件中所有可能的条目,是否有关于此的文档? 这样它会在我编写 grok 模式时帮助我。
我希望我的 logstash grok 中的所有可用 OS 涵盖以下情况。
- 登录是如何进行的,是使用密钥还是用户名和密码
- 登录成功或失败
- sudo登录成功或失败
- 暴力攻击:无效用户的密码失败或可能的破解尝试。是否有任何其他代表相同的条目。
我希望我的问题很清楚。
我认为您不会找到日志格式的详细解释,也许我错了。
Here 你有一些日志示例和一些 Grok 示例。 如果你想要更多 Grok 预写过滤器,你也可以使用 this site.
然后,这是我针对您所有不同案例的日志。我将我的 IP 更改为 0.0.0.0,删除了我的指纹并将实际登录更改为 username。
登录失败:
May 7 10:18:42 hostname sshd[6734]: pam_unix(sshd:auth): check pass; user unknown
May 7 10:18:44 hostname sshd[6734]: Failed password for invalid user support from 76.123.128.215 port 54943 ssh2
暴力破解:
May 7 10:18:46 hostname sshd[6734]: Disconnecting: Too many authentication failures for invalid user support from 76.123.128.215 port 54943 ssh2 [preauth]
May 7 10:18:46 hostname sshd[6734]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=c-76-123-128-215.hsd1.ms.comcast.net
May 7 10:18:46 hostname sshd[6734]: PAM service(sshd) ignoring max retries; 6 > 3
Public 按键登录:
May 11 17:21:21 hostname sshd[1972]: Accepted publickey for username from 0.0.0.0 port 43901 ssh2: ED25519 key_fingerprint
May 11 17:21:21 hostname sshd[1972]: pam_unix(sshd:session): session opened for user username by (uid=0)
Sudo 会话:
May 11 17:21:24 hostname sudo: username : TTY=pts/1 ; PWD=/home/username ; USER=root ; COMMAND=/bin/bash
May 11 17:21:24 hostname sudo: pam_unix(sudo:session): session opened for user root by username(uid=0)
密码登录:
May 10 10:36:23 hostname sshd[30746]: Accepted password for username from 0.0.0.0 port 58985 ssh2
May 10 10:36:23 hostname sshd[30746]: pam_unix(sshd:session): session opened for user username by (uid=0)
有了这些日志,您应该能够编写过滤器并提取全面的数据。