问题标签 [auth.log]

问问题

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

6 问题
Newest
Active
Bountied
318
Unanswered
0 投票
1 回答
405 浏览

ubuntu - check-log 插件指向 /var/cache/check-log/default/var/log/auth.log 而不是 /var/log/auth.log

我正在使用 sensu 来跟踪日志文件警报。我需要跟踪 auth.log。我在我的config.json.

“命令”:“sudo /etc/sensu/plugins/check-log.rb -f /var/log/auth.log -q 'fatal' -c 1”

我希望跟踪对该服务器的黑客攻击尝试,但 sensu 命令本身进入 auth.log,使其成为鸡蛋问题。

在 auth.log

如何运行 sensu 命令并避免在auth.log. 或者我可以将 sensuauth跟踪重定向到不同的文件吗?

编辑

为了解决这个问题,我将sensu用户添加到adm组中。sudo visudo并为用户删除了条目sensu。现在,我仍然无法让 sensu 报告。奇怪,我收到的错误消息

检查运行失败:Permission denied @ rb_sysopen - /var/cache/check-log/default/var/log/auth.log, ["/etc/sensu/plugins/check-log.rb:208:in initialize'", "/etc/sensu/plugins/check-log.rb:208:inopen'" , "/etc/sensu/plugins/check-log.rb:208:in search_log'", "/etc/sensu/plugins/check-log.rb:134:inblock in run'", "/etc/sensu/plugins/check-log.rb:128:in each'", "/etc/sensu/plugins/check-log.rb:128:inrun'", "/opt/sensu /embedded/lib/ruby/gems/2.3.0/gems/sensu-plugin-1.4.0/lib/sensu-plugin/cli.rb:58:in `block in '"]

请注意,我正在尝试check-logfor /var/log/auth.log,而客户正在尝试/var/cache/check-log/default/var/log/auth.log

0 投票
1 回答
245 浏览

bash - 检查 auth.log 文件中最近 10 分钟(实际时间)的登录活动?

我有一个每 10 分钟执行一次 bash 文件的 cronjob。bash 文件包含一个 Curl 命令,如果 var/log/auth.log 文件包含任何带有“已接受密码”的行,该命令会向我发送一条短信。(显然 if 条件每次都为真)。
现在我想添加另一个 if 条件,仅在最后 10 分钟内检查字符串“接受的密码”。

我的问题是,日志文件包含这样的时间信息:

如何将当前时间与上述格式进行比较并编写 IF 语句?目前我正在这样做:

先感谢您。

0 投票
1 回答
649 浏览

linux - 使用 grep 时不显示来自 auth.log 文件的所需信息

我想从 auth.log 文件中获取有关用户的所有信息,但是当我使用grep user /var/log/auth.log而不是给我提到的用户的所有信息时,它只是写给我Binary file /var/log/auth.log matches。它曾经用提到的用户拿起句子,但现在它没有。

0 投票
0 回答
464 浏览

linux - 在 linux 系统上解释 auth.log,什么是一次登录尝试

使用 Python 3.5 我正在编写一些代码来分析 /var/log/auth.log 并从中辨别出一些事件。我在 Ubuntu 17.04 上,默认设置为输出到 /var/log/auth.log

我正在尝试量化失败的登录事件。但是,当我检查日志文件时。在我看来,失败的登录事件被记录了多次。当调用通过系统的不同层时,推断下面的所有行都对应于一次失败的登录尝试是否安全?或者是单独的失败登录尝试下方的每一行。

我倾向于归因于一次失败的登录尝试的行:

更多背景:

我应该通过 sshd 进程的 pid 来确定一次失败的登录尝试吗?我不能通过端口,因为每个端口有一个连接,可能会发生多次失败的登录尝试,我试图尽可能精细地计算失败的登录尝试以供以后分析。

还有其他想法吗?我的下一步是 grep sshd 源或 pam 以查看我能找到什么。

0 投票
1 回答
53 浏览

security - 查询 auth.log 的 ssh 尝试(断开从未正确授权的连接)

一段时间以来,Lurker 在这里为我的问题得到了很多很好的答案。希望这里有一些见解,请!我正在努力使用一些类似的 bash 脚本。

此处的目的是在 auth.log 中 grep“断开连接”并获取以下 IP 地址。然后我使用非常有用的extreme-ip-lookup.com 工具找到IP 地址的地理位置。它们在 AWS 上的 Ubuntu 16.04 服务器上运行。

我得到的结果好坏参半 - 我看到很多相同的 IP 地址(这是一个 AWS 服务器)没有出现在 auth.log 中,我很好奇信息的来源。最终,我在这里生成的结果将成为我将此服务器从公共可访问性中删除并使其仅私有的理由。它会在内部破坏一些东西,但会使环境更加安全。太神奇了,我什至不得不为此而战。

将 $ipaddy 变量(它显示为空白)和管道信息回显到文件中也存在问题。但这是另一个问题。;)

编码..

底部标出的行是我的测试行,它正确输出了 IP 地址列表。

请参阅下面的输出结果。

-- -cat auth.log 命令的结果 | grep "断开连接"-

3 月 21 日 20:57:04 ip-10-10-100-22 sshd[11823]:从 115.238.245.6 端口 52720 [preauth] 断开连接 3 月 21 日 20:58:48 ip-10-10-100-22 sshd[11839 ]:从 93.147.131.23 端口 34934 [preauth] 断开连接 3 月 21 日 21:02:40 ip-10-10-100-22 sshd [11868]:从 221.194.47.221 端口 50977 [preauth] 断开连接 [preauth] Mar 21 21:03:02 ip-10-10-100-22 sshd[11884]:与 221.194.47.243 端口 47179 [preauth] 断开连接 3 月 21 日 21:04:52 ip-10-10-100-22 sshd[11900]:与 115.238.245.6 断开连接端口 53163 [preauth] 3 月 21 日 21:09:03 ip-10-10-100-22 sshd[12064]:从 122.226.181.164 端口 60190 [preauth] 3 月 21 日 21:16:46 ip-10-10-100 断开-22 sshd[12080]:从 221.194.47.233 端口 54297 [preauth] 3 月 21 日 21:23:01 ip-10-10-100-22 sshd[12123]:从 62.210.205.35 端口 38513 [preauth] 断开连接21:31:54 ip-10-10-100-22 sshd[12229]:与 221.194 断开连接。47.236 端口 55644 [preauth] 3 月 21 日 21:38:34 ip-10-10-100-22 sshd[12247]:从 62.241.131.10 端口 51984 [preauth] 3 月 21 日 21:38:54 ip-10-10-断开100-22 sshd[12267]:与 221.194.47.245 端口 41003 [preauth] 断开连接 3 月 21 日 21:42:35 ip-10-10-100-22 sshd[12286]:与 218.65.30.25 端口 15680 [preauth] 断开连接21 21:42:49 ip-10-10-100-22 sshd[12302]:从 121.18.238.39 端口 34310 [preauth] 断开连接 3 月 21 日 21:44:12 ip-10-10-100-22 sshd[12318] : 从 177.70.27.200 端口 34968 [preauth] 断开49 ip-10-10-100-22 sshd[12302]:从 121.18.238.39 端口 34310 [preauth] 断开连接 3 月 21 日 21:44:12 ip-10-10-100-22 sshd[12318]:从 177.70 断开连接。 27.200 端口 34968 [preauth]49 ip-10-10-100-22 sshd[12302]:从 121.18.238.39 端口 34310 [preauth] 断开连接 3 月 21 日 21:44:12 ip-10-10-100-22 sshd[12318]:从 177.70 断开连接。 27.200 端口 34968 [preauth]

-- 脚本运行一段时间的结果。这是 34.224.62.79 地址出现在 auth.log 中的 NOWHERE ELSE 让我感到困惑。我知道它们很可能是 AWS 内部的,但为什么它们也没有出现在 auth.log 中?

成功,34.224.62.79,,住宅,,,"北美",US,"美国",弗吉尼亚州,阿什本,39.0481,-77.4728,"亚马逊技术公司","哈里伯顿公司"成功,221.194.47.233,,住宅,,,Asia,CN,China,河北,保定,38.8511,115.4903,"河北联通省网","河北联通省网"成功,34.224.62.79,,住宅,,,"北美",US "United States",Virginia,Ashburn,39.0481,-77.4728,,"Amazon Technologies Inc.","Halliburton Company" 成功,34.224.62.79,,住宅,,,"North America",US,"United States",Virginia ,Ashburn,39.0481,-77.4728,"Amazon Technologies Inc.","Halliburton Company" 成功,34.224.62.79,,住宅,,,"北美",US,"美国",Virginia,Ashburn,39.0481,-77.4728,"Amazon Technologies Inc.","Halliburton Company" success,34.224.62.79,,Residential,,,"North America",US,"United States",Virginia,Ashburn,39.0481,- 77.4728,"Amazon Technologies Inc.","Halliburton Company" 成功,62.210.205.35,aurora.appturesque.com,Business,Appturesque.com,www.appturesque.com,Europe,FR,France,,,,48.8582,2.3387," Online SAS","Magic Online ISP" success,34.224.62.79,,Residential,,,"North America",US,"United States",Virginia,Ashburn,39.0481,-77.4728,"Amazon Technologies Inc.","Halliburton Company" success,34.224.62.79,,Residential,,,"North America",US,"United States",Virginia,Ashburn,39.0481,-77.4728,"Amazon Technologies Inc.","Halliburton Company" 成功,34.224.62.79,,住宅,,,"North America",US,"United States",Virginia,Ashburn,39.0481,-77.4728,"Amazon Technologies Inc.","Halliburton Company" 成功,34.224. 62.79,,Residential,,,"North America",US,"United States",Virginia,Ashburn,39.0481,-77.4728,"Amazon Technologies Inc.","Halliburton Company" success,221.194.47.236,,Residential,,, Asia,CN,China,Hebei,Baoding,38.8511,115.4903,"中国联通河北省网","中国联通河北省网"成功,34.224.62.79,,住宅,,,"北美",US,美国",Virginia,Ashburn,39.0481,-77.4728,"Amazon Technologies Inc.","Halliburton Company" 成功,62.241.131.10,host-62-241-131-10.static.link.com.eg,Residential,,,Africa,EG,Egypt,"Al Qahirah",Cairo,30.0771,31.2859,"Link Egypt","Link Egypt" 成功,34.224.62.79,,住宅,,,"北美",US,"美国", Virginia,Ashburn,39.0481,-77.4728,"Amazon Technologies Inc.","Halliburton Company" success,221.194.47.245,,住宅,,,Asia,CN,China,河北,保定,38.8511,115.4903,河北联通网络","中国联通河北省网络"成功,34.224.62.79,,住宅,,,"北美",US,"美国",弗吉尼亚州,阿什本,39.0481,-77.4728,"亚马逊科技公司", Halliburton Company"成功,218.65.30.25,,住宅,,,,Asia,CN,China,Jiangxi,Nanchang,28.5500,115.9333,"ChinaNet江西省网","CHINANET JIANGXI PROVINCE NETWORK"成功,34.224.62.79,,住宅,,,"北美",US,"United States",Virginia,Ashburn,39.0481,-77.4728,"Amazon Technologies Inc.","Halliburton Company" 成功,121.18.238.39,,住宅, ,,Asia,CN,China,Hebei,Hebei,39.8897,115.2750,"中国联通河北省网","中国联通河北省网"成功,34.224.62.79,,住宅,,,"北美",US,美国”,Virginia,Ashburn,39.0481,-77.4728,”Amazon Technologies Inc.”,”Halliburton Company”成功,177.70.27.200,v9duckz3sq.undercloud.net,住宅,,”南美”,BR,Brazil,, ,-22.8305,-43.2192,"Desenvolve Solucoes de Internet Ltda","Desenvolve Solucoes de Internet Ltda" 成功,34.224.62.79,,住宅,,,"北美",US,美国",Virginia,Ashburn,39.0481,-77.4728,"Amazon Technologies Inc.","哈里伯顿公司"成功,122.226.181.166,,住宅,,,亚洲,CN,中国,江苏,台州,32.4907,119.9081,”杭州天健信息科技》、《CHINANET浙江省网》

0 投票
0 回答
74 浏览

php - 从 php 文件中读取 auth.log 文件并将其显示在网页上

我有一个 Ubuntu 18.04 服务器,并且一直在尝试创建一个 php 文件,该文件通过 auth.log 搜索某些属性,然后将它们显示在屏幕上。

php 文件具有权限 644 和 root:root 作为所有者:组。auth.log 文件是默认文件,存储在 /var/log 中,权限为 640,syslog:adm 为 owner:group。

index.php 中的代码如下:

我尝试更改 php 文件上的 owner:group 以匹配 auth.log 文件,但这似乎并没有改变任何东西。关于为什么不能返回文件详细信息的任何想法?


12345678910