0

我有一个任务来设置一个新的流来捕获所有失败的 ssh 登录。我以前从未使用过 graylog,而且我在正则表达式方面真的很糟糕。

我发现您需要创建一个新流,使所有失败的 ssh 登录消息都被捕获在该流中,然后对此发出警报。

4

1 回答 1

0

您可以仅为示例创建一个流,然后让我们称之为 SSH 接受/失败

然后创建一个规则,在其中输入
字段:消息
类型:匹配正则表达式
值失败:失败密码 for.+ from .+

然后为相同的流创建一个新规则,其值为:Accepted password for.+ from .+

然后您将有一个 Stream 为您的 SSH 收集 Failed 和 Accepted 登录

于 2015-10-28T11:41:45.443 回答