/var/log/auth.log나는 하루 동안 발생한 무단 액세스를 나타내는 메시지를 검색하기 위해 bash 명령을 작성했습니다 . 현재는 BREAK-INsum 과 일치하는 메시지 만 받습니다 unauthorized.
/var/log/auth.log무단 액세스를 모니터링 하려면 어떤 다른 문자열을 검색해야 합니까 ?
참고용 스크립트는 다음과 같습니다.
cat /var/log/auth.log|grep "$(date|awk '{print $2" "$3}')"|grep -E '(BREAK-IN|Invalid user|Failed|refused|su|Illegal)'
편집하다
다음은 Google을 통해 찾은 Justins 제안과 정보를 기반으로 수정된 명령입니다.
grep "$(date|awk '{print $2" "$3}')" /var/log/auth.log|grep -E '(BREAK-IN|Invalid user|Failed|refused|su|Illegal)'
답변1
누군가가 존재하지 않는 계정으로 로그인을 시도할 때 발생하는 "잘못된 사용자"를 찾아볼 수 있습니다. 또한 잘못된 비밀번호를 입력하면 "Password Failed(비밀번호 실패)" 팝업이 표시됩니다.
또한 파일을 grep으로 덤프하기 위해 cat을 사용할 필요가 없습니다. Grep에는 이미 이 파일이 두 번째 옵션으로 있습니다. 'Grep 검색 조건/경로/tp/파일'