入侵报告工具,以auth.log作为文件

最新推荐文章于 2024-12-03 18:37:45 发布
最新推荐文章于 2024-12-03 18:37:45 发布
阅读量1.3k 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: 操作系统 awk python
原文链接:https://my.oschina.net/maliang9527/blog/3035308
本文介绍了一个使用Bash脚本分析auth.log文件的方法,该脚本能够筛选出失败的登录尝试,统计不同用户的尝试次数,记录IP地址,进行主机映射,并计算时间范围,帮助管理员快速定位潜在的安全威胁。

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

#!/bin/bash
#入侵报告工具,以auth.log作为文件
#tips:前提要确认主机安装并启用rsyslog 如果没有可以 yum install rsyslog

AUTHLOG=/var/log/auth.log

if [[ -n $1 ]]
then
	AUTH_LOG=$1
	echo Using Log file : $AUTHLOG
fi
LOG=/tmp/valid.$$.log
grep -v "Invalid" $AUTHLOG > $LOG
users=$(grep "Failed password" $LOG | awk '{print $(NF-5) }' | sort | uniq)
printf "%-5s|%-10s|%-10s|%-13s|%-33s|%-s\n" "Sr#" "User" "Attempts" "IP address" "Host_Mapping" "Time range"

ucount=0;
ip_list="$(egrep -o "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" $LOG | sort | uniq)"
for ip in $ip_list;
do
	grep $ip $LOG > /tmp/temp.$$.log

for user in $users;
do
	grep $user /tmp/temp.$$.log > /tmp/$$.log
	cut -c-16 /tmp/$$.log > $$.time
	tstart=$(head -1 $$.time);
	start=$(date -d "$tstart" "+%s");
	tend=$(tail -1 $$.time);
	end=$(date -d "$tend" "+%s")
	limit=$(($end - $start))
	if [ $limit -gt 120 ]; 
		then
			let ucount++;
			IP=$(egrep -o "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" /tmp/$$.log | head -1);
			TIME_RANGE="$tstart-->$tend"
			ATTEMPTS=$(cat /tmp/$$.log | wc -l);
			HOST=$(host $IP | awk '{ print $NF}')
			printf "%-5s|%-10s|%-10s|%-10s|%-33s|%-s\n" "$ucount" "$user" "$ATTEMPTS" "$IP" "$HOST" "$TIME_RANGE"
	fi
done
done
rm /tmp/valid.$$.log /tmp/$$.log $$.time /tmp/temp.$$.log 2> /dev/null

 

转载于:https://my.oschina.net/maliang9527/blog/3035308

安全监控:入侵检测_(8).入侵检测系统部署与管理
zhubeibei168的博客
03-14 1200
入侵检测系统的部署与管理是一个复杂但至关重要的过程,需要综合考虑系统的性能、准确性和可管理性。选择合适的 IDS 并进行合理的配置和优化,可以显著提高系统的安全性和效率。通过本文的介绍,希望读者能够更好地理解和掌握入侵检测系统的部署与管理方法,从而在实际应用中发挥其最大效能。
42、网络扫描、入侵检测与预防工具全解析
最新发布
view3的博客
08-02 36
本文全面解析了网络扫描、入侵检测与预防工具的使用方法和原理,涵盖了从基础的网络扫描操作、端口扫描与指纹识别到高级的入侵检测系统(如snort和Tripwire)的配置与应用。同时,文章还探讨了如何制定和优化网络安全策略,并展望了未来网络安全的发展趋势与应对策略。通过这些工具和技术的综合应用,可以有效提升网络的安全防护能力。
Linux 日志系统
王兆镇的博客
09-09 4255
常见的日志 日志是一个系统管理员,一个运维人员,甚至是开发人员不可或缺的东西,系统用久了偶尔也会出现一些错误,我们需要日志来给系统排错,在一些网络应用服务不能正常工作的时候,我们需要用日志来做问题定位,日志还是过往时间的记录本,我们可以通过它知道我们是否被不明用户登录过等等。 在 Linux 中大部分的发行版都内置使用 syslog 系统日志,那么通过前期的课程我们了解到常见的日志一般存放在 /var/log 中,我们来看看其中有哪些日志 根据图中所显示的日志,我们可以根据服务对象粗略的将日志分为两类 系
Ubuntu 中登录相关的日志
Chocolate的博客
06-15 2787
本文整理了 Ubuntu 系统中常见的一些与登录相关的文件和命令。通过它们可以快速的查看当前用户的登录情况和所有用户登录登出的历史记录,并且可以查询到用户使用 root 权限执行的操作。这对我们维护系统的安全和用户的管理都非常有帮助。sparkdevsparkdev - 博客园本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。
Linux入侵痕迹清理
小晓晓晓林的博客
02-20 6999
Linux入侵痕迹清理 环境:Centos7、Kali虚拟机等 清除登陆系统成功的记录 [root@localhost root]# echo > /var/log/wtmp//此文件默认打开时乱码,可查到ip等信息 [root@localhost root]#last//此时即查不到用户登录信息 清除之前能看到之前其他机器的登录信息 清除登陆系...
日志提权 /var/log/auth.log
m0_57221101的博客
03-27 4208
首先介绍一下这个日志,这个是ssh的登陆日志,会记录下ssh登录,sudo,su等命令的相关信息,这里需要重点提及的是,会记录下ssh登录时的用户名。 这个文件的权限一般是310所以不会被除root用户外的其他用户直接写入,一般也不能被除root组外的其他用户读取,但是一旦可以被读取,就可以在这上面下文章了 . ## 利用方法 之前说过auth日志会保存尝试ssh登录的用户名而不去校验这个用户名是否合法或在本地存在 那么我们就可以在用户名处注入可以被执行的脚本然后尝试访问他就可以实现RCE命令执
ELK stack实战之结合rsyslog分析系统日志(auth.log)
weixin_33801856的博客
10-08 499
打开微信扫一扫,关注微信公众号【数据与算法联盟】 转载请注明出处:http://blog.csdn.net/gamer_gyt 博主微博:http://weibo.com/234654758 Github:https://github.com/thinkgamer 写在前边的话 在之前的文章中我么谈到了EL...
authviz:auth.log的可视化工具
05-18
`auth.log`是Linux系统中一个重要的日志文件,它详细记录了用户认证的相关信息。然而,原始的日志文件往往包含大量文本数据,直接阅读和分析可能会相当困难。这就是`authviz`工具的用武之地。`authviz`是一个专门...
Linux系统中--/var/log目录存储系统日志文件介绍
MHD0815的博客
03-25 1259
在Linux系统中,/var/log目录是系统日志的集中存放地,包含了系统运行期间产生的各种日志文件。这些文件对于系统管理员和开发者来说至关重要,因为它们可以帮助识别和解决系统问题,监控系统的健康状况,以及审计系统的活动。
Linux入侵检测方法及系统安全建议.pdf
09-06
2. **日志监控**:定期查看系统日志,如`/var/log/auth.log`和`/var/log/messages`,及时发现异常登录和活动。可以使用工具如`logwatch`或`syslog-ng`进行日志分析。 3. **防火墙和入侵检测系统**:配置防火墙规则...
auth.log日志查看
weixin_34336526的博客
02-08 5680
2019独角兽企业重金招聘Python工程师标准>>> ...
麒麟(Kylin V10 SP1)系统auth.log日志重复保存,文件过大问题处理
niuwj666的博客
08-25 2985
9. 重启systemd-journald.service服务,并使用tail -f /var/log/auth.log命令进行实时监控,发现输出的信息不再包含审计日志信息。5. 在Kylin V10 SP1中,发现多了一个systemd-journald-audit.socket文件。3. 使用tail -f /var/log/auth.log命令进行实时监控,发现输出的信息主要是审计日志信息。6. 系统启7动了systemd-journald.service服务后,会记录audit日志。
Linux友人帐之日志与备份
qq_62377885的博客
10-25 777
要创建自定义日志管理服务,可以按照以下步骤进行操作:1. 安装并配置 rsyslogRsyslog 是 Linux 上常用的日志服务,它可以帮助你将不同来源的日志消息发送到不同的输出目标。
/var/log目录下的20个Linux日志文件功能详解
weixin_34413065的博客
02-16 824
如果愿意在Linux环境方面花费些时间,首先就应该知道日志文件的所在位置以及它们包含的内容。在系统运行正常的情况下学习了解这些不同的日志文件有助于你在遇到紧急情况时从容找出问题并加以解决。 以下介绍的是20个位于/var/log/ 目录之下的日志文件。其中一些只有特定版本采用,如dpkg.log只能在基于Debian的系统中看到。 /var/log/me...
linux基础2
qq_73187469的博客
12-03 1151
这个命令用于显示内核环形缓冲区(kernel ring buffer)中的信息,包括系统启动时的硬件检测信息、内核模块加载信息、设备驱动的初始化信息等。history:这个命令用于显示命令历史记录,即之前在当前终端会话中执行过的命令列表。可以通过查看历史记录来快速重复执行之前的命令,或者查找之前执行过的特定命令。/var/log/auth.log是储存系统认证信息的日志文件,包括用户登录、认证失败等信息。/var/log/wtmp是一个二进制日志为文件,记录了系统的登录和注销信息。
《Centos系统——linux系统日志》
weixin_45842014的博客
10-14 989
8. 日志清理 1、编写脚本 2、计划任务
linux查看系统日志
翱翔-蓝天
02-16 1324
每种方法都适合不同的场景和需求。例如,如果你只是想快速查看日志文件的最后几行,命令可能是最好的选择。如果你需要进行复杂的文本搜索或分析,可能需要使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值