Question

Я пытаюсь написать запрос через splunk, чтобы найти журналы S SH, используемые для аутентификации в Linux. Любые идеи относительно запроса, необходимого писателю для этого? Я новичок в splunk, поэтому любая информация может помочь.

Вот что я начал, но безрезультатно:

sshd «Недействительный пользователь» НЕ порт НЕ «preauth]» | iplocation InvalidSSHIP

Simon Duff · Answer 1 · 29 мая 2020

Я настоятельно рекомендую вам использовать Splunk TA для Nix, https://splunkbase.splunk.com/app/833/

В нем вы также найдете общие входы и извлечения полей для журналов событий S SH как и другие распространенные форматы * nix.

Если вы будете следовать этой TA, вы сможете найти события, которые ищете, с помощью следующего поиска

index=os eventtype=ssh*

Как найти журналы аутентификации S SH для Linux

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как найти журналы аутентификации S SH для Linux

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы