मैं एक सेकंडस्टैम्प को कैसे ठीक से अनदेखा करता हूं

13

मेरे पास एक नियम है जो इस तरह सेट किया गया है;

Inetc/sec/rules.d में मेरे पास है;

type=SingleWithSuppress
ptype=regexp
pattern=(\S+) sshd\[\d+\]: PAM \d+ more authentication failures\; logname=.* uid=.* euid=.* tty=ssh ruser=.* rhost=(.*) user=(.*)
desc=Login Failure: $0
action=pipe '%s ' /bin/mail -s "login failure $2 to $3@$1" team@team.com
window=300

तो अगर यह syslog के माध्यम से आया;

Nov 21 11:24:10 servername.server.com sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost= user=kloggins

इसे इस (जो, यह मेरे रेगेक्स संपादक के अनुसार) पैटर्न के अनुसार मेल खाना चाहिए;

servername.server.com sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost= user=kloggins

हम स्पैम के साथ एक मुद्दा बना रहे थे क्योंकि टाइमस्टैम्प बदल रहा था। इसलिए मैंने होस्टनाम के बाद सब कुछ मैच करने के लिए पैटर्न को फिर से लिखा।

हालाँकि, यह काम नहीं कर रहा है और हर बार एक उपयोगकर्ता "प्रमाणीकरण विफल रहता है", मुझे अभी भी एक ई-मेल मिलता है।

मैं परीक्षण करने के लिए निम्नलिखित का उपयोग कर रहा हूं;

logger -p syslog.err 'sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost= user='

कोई विचार? मैं सिर्फ गलतफहमी हो सकती है। यह पहली बार है जब मैं इसके साथ काम कर रहा हूँ! किसी भी तरह की सहायता का स्वागत किया जाएगा। धन्यवाद!

linux  logging  syslog  regex 
Ethabelle
स्रोत

जवाबों:

11

खैर, बालों को खींचने के लगभग एक दिन के बाद, मैं आखिरकार यह समझता हूं कि यह कैसे करना है और बी) एक गलत धारणा है जो मेरे पास है।

सेकंड मैन पेज पढ़ने में और यह desc = जैसा कि अनिवार्य रूप से मैच दिखा रहा है। इसलिए मेरे दिमाग में, इसका मतलब था कि पैटर्न में जो कुछ भी मिलान किया गया था उसे दिखाना चाहिए। खैर, हां, यह सच है, इस मामले में उस पैटर्न में मैच है; hostname, rhost और उपयोगकर्ता।

इसलिए जब मैं उतर रहा हूं = लॉगिन विफलता: $ 0, मैं पूरी लाइन को बंद कर रहा हूं। यह बुरी बात है।

इसलिए इसके बजाय मैंने इसे उपयोगकर्ता नाम और होस्टनाम को बंद करने के लिए बदल दिया, जिसके कारण यह खिड़की = 300 नियम का पालन करता है क्योंकि टाइमस्टैम्प (पूरी लाइन) नहीं बदल रही थी; उर्फ, निम्नलिखित ठहरनेवाला;

/etc/sec/rules.d/ssh.sec

type=SingleWithSuppress
ptype=regexp
pattern=(\S+) sshd\[\d+\]: PAM \d+ more authentication failures\; logname=.* uid=.* euid=.* tty=ssh ruser=.* rhost=(.*) user=(.*)
desc=Login Failure: $3@$1
action=pipe '%s $0' /bin/mail -s "Login Failure: $3@$1" email@email.com
window=300

त्रुटि रेखा

Nov 21 01:58:10 test.test.com sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=test.test.com user=kloggins

यह उपयोगकर्ता kloggins@test.test.com को नोटिस करेगा और 300 सेकंड के बाद फिर से होने तक उस पर रिपोर्ट नहीं करेगा, क्योंकि यह kloggins@test.test.com को बंद कर देता है।

मैंने इसे अब कई बार जांचा है, यह एक 'वेयरकिन' है।

Ethabelle
स्रोत
1
उस पर अच्छा काम किया।
मैगेलन
4
यहाँ सुनें। एक उत्कृष्ट, अच्छी तरह से लिखा, अच्छी तरह से अनुसंधान और scoped प्रश्न के लिए, और वापस आने के लिए और आवश्यक उत्तर देने के बाद एक विवरण उत्तर पोस्ट करने के लिए दोनों ने मुझसे +1 किया! धन्यवाद।
MadHatter
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.