我正在尝试通过 splunk 编写查询以查找用于在 Linux 中进行身份验证的 SSH 日志。关于作家实现这一目标所需的查询的任何想法?我是 splunk 的新手,所以任何信息都会有所帮助。
这是我已经开始但无济于事的:
sshd“无效用户”不是端口不是“preauth]”| iplocation 无效SSHIP
问问题
246 次
1 回答
0
我强烈建议您使用 Splunk TA for Nix,https: //splunkbase.splunk.com/app/833/
在其中,您将找到 SSH 事件日志的常见输入和字段提取,以及其他常见的 *nix 格式。
如果您关注此 TA,您应该能够通过以下搜索找到您正在寻找的事件
index=os eventtype=ssh*
于 2020-05-29T01:19:28.157 回答