0
A
回答
1
注:測試在Splunk的企業6.2.2對不住自己的CentOS 7 Linux服務器
我不承擔任何領域都該被提取。我的安全日誌爲成功登錄和失敗登錄提供了兩條不同的消息。他們是這樣的:
Mar 24 13:03:59 localhost sshd[3588]: Failed password for adrian from 172.20.255.111 port 4753 ssh2
Mar 24 12:52:41 localhost sshd[2762]: Accepted password for adrian from 172.20.255.111 port 4656 ssh2
有了這個,我想出了以下搜索:
source="*secure" process=sshd "password for"
| rex field=_raw "(?<result>Accepted|Failed) password for (?<username>\w+) from (?<ipaddr>[0-9A-Fa-f:\.]+)"
|eval success=if(result=="Failed",0,1)
|stats count as total,sum(success) as success by ipaddr
|where total!=success AND success!=0
雷克斯確實實地extrations生成領域造成的,用戶名和IPADDR。如果結果字段未失敗,則成功字段爲1。由於正則表達式只接受接受值或失敗值,這意味着接受,但您可以更改您的環境的正則表達式來改變它。然後我做一個典型的統計數據,找出連接總數與成功連接不相同的地方,並且成功的連接數不爲零(以符合你的AND查詢)。
相關問題
- 1. 如何確定登錄因Grails中未被接受的cookie而失敗
- 2. Capistrano的登錄的Net :: SSH失敗
- 3. 用SSH接受公鑰,用git失敗
- 4. 亞馬遜EC2 SSH登錄失敗
- 5. ssh無密碼登錄失敗,權限被拒絕(公鑰)
- 6. SSH連接到GIT失敗
- 7. Instagram OAuth登錄返回「匹配代碼未找到或已被使用」
- 8. 如何找到與一組被接受的短語不匹配的組
- 9. 登錄FTP連接失敗
- 10. 連接登錄失敗PHP
- 11. 如何接受clang_complete匹配?
- 12. 簡單的GlassFish嵌入式安全失敗:登錄失敗:無法找到登錄配置
- 13. ssh公鑰登錄失敗,隨機到我的Ubuntu服務器
- 14. 登錄失敗:INVALID_KEY:Android的重點不匹配
- 15. 登錄沒有失敗的路由匹配錯誤
- 16. Microsoft SQL Server錯誤18056,登錄失敗的密碼不匹配
- 17. 失敗:端口已經被分配
- 18. 如何解決SSH連接失敗?
- 19. 連接到SQL Server引擎(不受信任的域)時登錄失敗
- 20. 接受失敗,EFAULT
- 21. 驗證失敗,「沒有找到匹配的配置文件...」
- 22. 如何Kerberos的SSO登錄失敗
- 23. 如何檢測失敗的Windows登錄
- 24. 登錄重定向是登錄被接受
- 25. 使用grails ldap配置登錄失敗
- 26. phpMyEdit登錄失敗?
- 27. GoogleAppengineLauncher登錄失敗
- 28. Google登錄失敗
- 29. JSF登錄失敗
- 30. Zend_OpenId_Consumer - 登錄失敗