/var/log/auth.logでどの文字列を探す必要がありますか?
/var/log/auth.logをスキャンして、不正アクセスを示す当日に発生するメッセージを探すbashコマンドを作成しました。現在、BREAK-INとunauthorizedに一致するメッセージをフェッチするだけです。
不正アクセスを監視するために、/var/log/auth.logで他にどのような文字列を検索する必要がありますか?
参照用のスクリプトは次のとおりです。
cat /var/log/auth.log|grep "$(date|awk '{print $2" "$3}')"|grep -E '(BREAK-IN|Invalid user|Failed|refused|su|Illegal)'
編集
Justinsの提案とGoogleで見つけたものに基づいて修正されたコマンドは次のとおりです
grep "$(date|awk '{print $2" "$3}')" /var/log/auth.log|grep -E '(BREAK-IN|Invalid user|Failed|refused|su|Illegal)'
存在しないアカウントで誰かがログオンしようとしたときにスローされる「無効なユーザー」を探すことができます。また、無効なパスワードを入力すると、「失敗したパスワード」がスローされます。
また、ファイルをgrepにダンプするためにcatを使用する必要はありません。 Grepは、すでにファイルを2番目のオプションとして見ることができます。 'grep検索-基準/ path/tp/file'