ssh日志审计_[日志审计]Graylog2实现用户高危命令的分析和审计

最新推荐文章于 2024-05-09 08:53:37 发布
最新推荐文章于 2024-05-09 08:53:37 发布
阅读量472 收藏
点赞数
文章标签: ssh日志审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_28862113/article/details/113029425
版权

这次用户高危命令审计分析也是基于系统的syslog。

所以建议没有看过上编文章的可以先温习一下。

1、首先我们要做的就是能够自动记录用户操作的命令并实时发送到syslog。

运行以下命令:

echo 'export HISTTIMEFORMAT="%Y-%m-%d %H:%M:%S "

PROMPT_COMMAND=$(history 1)

typeset -r PROMPT_COMMAND

function log2syslog

{

declare command

command=$BASH_COMMAND

IP=`/sbin/ip addr list|grep -oP '\d{1,3}(\.\d{1,3}){3}'|grep -Ev '^127|255$'|head -n1`

logger -p local1.notice -t bash2syslog -i "audit_log,$HOSTNAME,$IP,$USER,$PPID,$SSH_CLIENT,$PWD,$command"

}

trap log2syslog DEBUG' > /etc/profile.d/zzz_history.sh

对trap命令不了解的同学可以网上查一下,在此就不过多解释了。

为啥放到/etc/profile.d/文件夹下,也可以查阅相关资料自学一下。

2、我们Ctrl + D 断开当前ssh连接,在重新登陆之后查看以下syslog日志:

tail -f /var/log/messages

能看到有audit_log关键字的命令记录了,说明脚本已经生效了。

2020-04-02 10:15:22 graylog bash2syslog[25424]: audit_log,graylog.server.local,192.168.254.102,root,32298,192.168.254.133 56701 22,/etc/yum.repos.d,tail -f /var/log/messages

3、返回到graylog2中,找到刚才关键字为tail的那条message,创建解析器,选中Copy input

4、条件Condition中选择正则匹配,填入高危命令关键字的正则表达式,并创建新的risk_cmd字段。

(.+:.+:.+:|rm .+rf|dd .+|fdisk .+|\/dev.+|mkfs.+|wget.+|curl.+|ftp.+|sftp.+|mv .+|kill .+|.+ restart|.+ reload)

关于正则如何写,给大家推荐一本书精通正则表达式​www.amazon.cn

然后在菜鸟工具中检测一下:

5、创建一个名为risk_cmd的Stream,条件是Field risk_cmd must be present。

6、在grafana添加一条数据源:

7、创建审计看板:

郑丰彧
关注
SSH入侵事件日志分析和跟踪
weixin_44023460的博客
12-26 861
1.1SSH入侵事件日志分析和跟踪 simeon 1.1.1实验环境 1.环境配置 (1)IP地址。两台Kali Linux服务器,被攻击服务器A:IP地址为192.168.106.135,攻击服务器B:IP地址为192.168. 106.135 (2)服务器A用户: 2.添加用户及设置密码 (1)服务器A添加用户: useradd simeon -s /bin/bash useradd hacker -s /bin/bash useradd antian365 -s /bin/bash (2)设置密码,使
ssh日志审计_系统日志说明及audit审计系统
weixin_29145157的博客
01-17 1171
一、日志文件的分类1.内核及系统日志由系统服务rsyslog统一进行管理,日志格式基本相似软件包:rsyslog-5.8.10-8主要程序:/sbin/rsyslogd配置文件:/etc/rsyslog.conf配置文件:/etc/rsyslog.conf语法日志设备类型 说明auth pam产生的日志authpriv ssh,ftp等登陆信息的验证信息cron 时间任务相关k...
分析SSH登录日志
编码行者的博客
03-06 1099
SSH(Secure Shell)是远程连接服务器的常用工具,通过查看系统的认证日志,我们可以了解到系统上的SSH登录活动。总结起来,这个命令帮助系统管理员追踪SSH登录活动,尤其是关注失败的认证尝试。通过分析登录频率,管理员可以及时发现异常登录行为,加强系统的安全性。通过运行这个命令,我们可以得到一个按照SSH登录次数排序的IP地址列表。:按照出现次数进行逆序排序,以便最高频次的IP地址在前面显示。:统计每个唯一的IP地址出现的次数,并在前面显示出现次数。:对提取出的IP地址进行排序。
SSH服务器日志分析:深入理解SSH认证过程
十年运维开发经验的王义杰在此分享自己的知识和经验
09-20 509
密钥交换:使用Diffie-Hellman算法,加强了连接的安全性。认证方法:首先尝试了无密码登录,随后成功使用了公钥认证。PAM与SELinux:这两个安全机制都被启用,增加了系统的安全性。
SSH登录日志分析脚本(Python)
人生如旅
04-22 3745
好久没有更新博客了,写了很早的一个脚本存下档,一个用于分析用户登录日志 /etc/auth.log的脚本,可以分析 成功、失败次数,以及来自的IP地址和登录失败的用户名,可以用于监控是否有暴力攻击,多了就可以用于收集字典,用来避免密码过于简单的问题 #/usr/bin/env python3.4 #Anyalize the /etc/auth.log files to get #
2024年zabbix监控Linux系统服务_linux 查看 zabbix agent 状态(3),2024年最新2024Linux运维春招
最新发布
m0_60144796的博客
05-09 291
【代码】2024年zabbix监控Linux系统服务_linux 查看 zabbix agent 状态(3),2024年最新2024Linux运维春招。
centos 日志审计_CentOS7日志审计
weixin_32999397的博客
01-17 2027
一、用户空间审计系统简介Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞(如多次失败的登录尝试,或者用户对系统文件不成功的访问)。Linux 用户空间审计系统由 auditd、audispd、auditctl、autrace、ausearch 和 aureport 等应用程序组成。下面依次说明:auditctl:即时控制审计守护进程的...
开源服务器日志审计系统,开源日志管理系统
weixin_36322275的博客
08-12 4185
开源日志管理系统 内容精选换一换在Log窗口的System Log页签里,您可以查看系统运行日志,操作步骤如下:MindStudio不支持通过界面方式删除设备上的system log日志。如需对日志进行管理,请使用root用户登录到设备侧,对/var/log/npu/slog目录下日志进行管理操作。进行系统日志查看前,需要已添加Device设备,才能获取到Device设已成功登录Java性能分析。...
Linux系统日志审计
ShenZ的博客
01-11 1906
Linux系统日志审计日志子系统1.连接时间日志auth.log / secure SSH登录日志2.进程统计3.错误日志其他日志安装日志 日志子系统 在Linux系统中,有三个主要的日志子系统: 1.连接时间日志 登陆系统的时间和IP 记录文件:/var/log/wtmp和/var/run/utmp,login auth.log / secure SSH登录日志 auth.log: 会记录ssh登陆的IP和端口 cat auth.log |grep Accepted SSH登录日志 : secure(
linux审计日志发送,Linux审计日志
weixin_39846089的博客
05-01 1604
最近在Linux日志中发现有如下信息:vi /var/log/messagestype=CRYPTO_KEY_USER msg=audit(1448528863.866:163): user pid=7735 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=destr...
记录一次ssh日志分析和apache日志分析
05-25
记录一次ssh日志分析和apache日志分析
ftp日志审计代理的实现
01-07
在windows平台下的FTP日志的读取并发送,用于审计windows 终端的管理。
Linux入*侵分析(二)分析SSH登录日志
weixin_34056162的博客
05-09 1511
SSH登录情况分析 1.wtmp日志 last last -x -F 2.查看在线用户情况 (1)w 命令用于显示已经登陆系统的用户列表,并显示用户正在执行的指令。单独执行w命令会显示所有的用户,您也可指定用户名称,仅显示某位用户的相关信息。 (2)who am i 显示你的出口IP地址,该地址用于SSH连接的源IP who am i root pts/0 2018-03-2...
命令审计
Foolfish的博客
07-13 455
Linux 利用 PROMPT_COMMAND 实现审计功能(及控制权限)修改profilevim /etc/profileexport HISTORY_FILE=/var/log/`date '+%y-%m-%d'`.log export PROMPT_COMMAND='{ date "+%y-%m-%d %T ##### $(who am i |awk "{print \$1\" \"\$2\"
Centos7入侵分析分析SSH登录日志
热门推荐
u011442726的博客
09-06 1万+
检查/var/log目录下的secure(CentOS),如果存在大量异常IP高频率尝试登录,且有成功登录记录(重点查找事发时间段),在微步在线上查询该登录IP信息,如果为恶意IP且与用户常用IP无关,则很有可能为用户弱口令被成功爆破。 /var/log/其他日志说明: /var/log/message 一般信息和系统信息 /var/log/secure 登陆信息 /var/log/ma...
ssh远程登陆日志分析
supertor的博客
11-22 1万+
环境:CentOS (其他发行版略有不同) 本文适合具备linux基础的同学 确认自己的登录信息以及目前登陆服务器的用户 列出所有登陆账户 w 列出当前账户 who am i 1、查看成功登陆日志 指令: cd /var/log less secure | grep 'Accepted' 正常登陆状态日志: 月份 日期 时分秒 服务器主机名 程序(ss...
解析SSH登录日志的奥秘:深入了解日志的形成过程
Lion_Long的博客
12-22 2690
SSH登录日志是维护系统安全、进行故障排除、进行安全审计和监控的重要依据。通过对日志分析和解读,管理员可以及时发现潜在的安全威胁,防范潜在的入侵,同时也能优化系统性能,保障系统的正常运行。
ssh 用户登录 审计
Serene MA的博客
05-16 953
建立一个 Command_history.sh touch /var/log/Command_history.sh 内容如下 #!/bin/sh touch /var/log/Command_history.log chown nobody.nobody /var/log/Command_history.log chmod 002 /var/log/Command_history.log c...
简单实现linux shell命令审计
fengkun32的学习笔记
01-26 4192
#! /bin/bash cat >> /etc/bash_audit <<"EOF" #to avoid sourcing this file more than once if [ "${OSTYPE:0:7}" != "solaris" ] #following not working in solaris then #do not source this file twice; al
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值