SSHログモニター
/var/log/secureでsshログを監視し、アクティビティを報告するためのツールはありますか?
ユーザーの行動について積極的に教えてくれ、悪意のある活動を浮き彫りにするツールを探しています。
エッジのケースがたくさんあることに気付いていないので、cronベースのログツールを作成したくありません。
参考までに、私はCentOSを使用しています
logwatchは監視を続け、ログインの失敗などに関するアラートを毎日送信します。fail2banは接続の試行を監視し、n秒以内にn回失敗したログイン後にIPをブロックします。ただし、ここにはスティックを振るのが賢明なオプションよりも多くのオプションがあります。
[〜#〜] ossec [〜#〜] もご覧ください。デフォルトのルールでは、次の場合にメールを送信できます。
ユーザーが作成されます:
ルール:5902が起動されました(レベル8)->「システムに新しいユーザーが追加されました」ログの一部 : 9月20日15: 29:50 SVR015-493 useradd [22825]:新しいユーザー:name = x、UID = 507、 GID = 512、home = y、Shell =/sbin/nologin
複数回のログイン試行の失敗
ルール:11210が発生しました(レベル10)->「ログイン試行が複数回失敗しました。」 8月23日18:47:07x proftpd [22934]: y(:: ffff:183.106.7.2 [:: ffff:183.106.7.2])-最大ログイン試行 (3)を超え、接続が拒否されました
初めてユーザーがSudoを実行した
ルール:5403が起動されました(レベル4)->「初めてユーザーがSudoを実行しました。」 ログの一部: 7月2日11: 55:14 x Sudo:y:TTY = pts/3; PWD =/home/y; USER = root;コマンド=/bin /su-
不正なルートログイン
ルール:2504が起動されました(レベル9)->「不正なルートログイン。」 ログの一部: 7月2日11:54: 39 SVR4149 sshd [13558]:xxxx からルートログインが拒否されました
- .。
Logwatchのデフォルト設定は、CentOSでこれを行う必要があり、cron.dailyエントリを使用して、失敗したログインと成功したログインを要約する(および、認証の失敗を示す/ var/log/secureからスキャンしたpam_unix出力を要約する)SSHDセクションを含む電子メールを送信します。 、無効なユーザーなど)。