/var/log/auth.log私は日中に発生した不正アクセスを示すメッセージを取得するためにbashコマンドを作成しました。現在はBREAK-INsumと一致するメッセージのみを受け取りますunauthorized。
/var/log/auth.log不正アクセスを監視するには、他のどの文字列を検索する必要がありますか?
メモ用のスクリプトは次のとおりです。
cat /var/log/auth.log|grep "$(date|awk '{print $2" "$3}')"|grep -E '(BREAK-IN|Invalid user|Failed|refused|su|Illegal)'
編集する
以下は、Googleで見つけたJustinsの提案と情報に基づいて変更されたコマンドです。
grep "$(date|awk '{print $2" "$3}')" /var/log/auth.log|grep -E '(BREAK-IN|Invalid user|Failed|refused|su|Illegal)'
ベストアンサー1
誰かが存在しないアカウントでログインしようとしたときに発生する「無効なユーザー」を見つけることができます。また、間違ったパスワードを入力すると、「Password Failed(パスワード失敗)」ポップアップが表示されます。
また、ファイルをgrepにダンプするためにcatを使用する必要はありません。 Grepにはすでにこのファイルが2番目のオプションとしてあります。 「Grep検索条件/パス/tp/ファイル」