elk监控ssh登陆日志,通过脚本实现阈值告警

最新推荐文章于 2024-04-04 01:00:00 发布
原创 最新推荐文章于 2024-04-04 01:00:00 发布 · 1.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

该博客介绍了如何利用Filebeat、Logstash和Python脚本来监控SSH登陆日志,并设定阈值触发告警。通过Filebeat收集日志,Logstash进行处理,然后使用Python脚本分析`elk_ssh_failed.log`文件,当失败登录次数超过3次时,发送邮件警告。邮件内容包含失败的用户、来源、状态和次数信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

filebeat配置:

filebeat.prospectors:

- input_type: log

  paths:
    - /var/log/secure

  exclude_lines: ["nagios"]

output.logstash:
  # The Logstash hosts
  hosts: ["10.0.1.1:5050"]

logstash配置:

input {
       beats {
              port => 5050
       }
}    
filter {
    grok {
        match => { "message" => "%{SYSLOGTIMESTAMP:a_time} %{USERNAME:a_hostname} sshd\[%{WORD:a_jinchen}\]: %{WORD:a_leixing}\s%{WORD:a_fangshi}\sfor\s%{WORD:a_user}\sfrom\s%{IPV4:a_ip}\sport\s%{INT:a_port}\s%{WORD:a_xieyi}"}
    }
}
output {
    elasticsearch{
          hosts => [ "10.0.1.2:9200","10.0.1.3:9200","10.0.1.4:9200" ]
          index=> "logstash-fangwen-%{+YYYY.MM}"
    }
    if [a_leixing] == "Failed" {      
       file {
          path  => "/mapbar/app/elk/logstash-5.0.0/logs/elk_ssh_failed.log"
          codec => line { format => "custom format: %{message}"}
 }
}
}


python脚本:

import os
if os.path.exists('/mapbar/app/elk/logstash-5.0.0/logs/elk_ssh_failed.log'):
    file_dict = {}
    input_file = open('/mapbar/app/elk/logstash-5.0.0/logs/elk_ssh_failed.log')
    line_file = input_file.readlines()
    file_number = len(line_file)
    for i in line_file:
        file_list = i.split()
        file_key = file_list[5]+','+file_list[7]+','+file_list[8]+','+file_list[10]+','+file_list[12]
        if file_key in file_dict.keys():
            number = file_dict[file_key]
            number += 1
            file_dict[file_key] = number
        else:
            file_dict[file_key]=1
    echo_content = ''
    for k,v in file_dict.items():
        if int(v) > 2:
            k_info = k.split(',')
            echo_content += "User: %s \n From: %s\n Land: %s \n State: failed \n Failure Times: %s \n %s \n" % (k_info[3],k_info[4],k_info[0],v,'-'*50)
    if echo_content:
        os.system('echo "'+echo_content+'"| mail -s "ssh_failed:warning!" wzz@csdn.com')
    input_file.close()
    os.system('rm -rf /mapbar/app/elk/logstash-5.0.0/logs/elk_ssh_failed.log')

cronteb:

*/5 * * * * /mapbar/app/tools/anaconda2/bin/python  /mapbar/app/elk/logstash-5.0.0/sh/elk_ssh_failed.py  2>&1


原理:

当出现Failed失败时logstash会输出这个消息给elk_ssh_failed.log文件,每五分钟通过python脚本检测文件,如果超过3次发送邮件告警


邮件格式:

User: wangzz
From: ip地址
Land: 登陆的主机名
State: failed
Failure Times: 次数
--------------------------------------------------




[运维]ELK实现日志监控告警
个人技术博客
02-09 5万+
ELK(Elasticsearch+LogStash+Kibana),最近使用ELK处理了一些平台日志,下面以「mysql连接数监控」记录部署流程
写一个脚本实现调用脚本就可知道谁ssh远程连接自己的次数最多
ymeng9527的博客
06-05 405
如何检测谁ssh连接自己的次数最多? last命令 查看谁都ssh连过自己 last -i 查看并且显示ip 0.0.0.0是主机自己,172网段的才是别人 last -i | grep 0.0.0.0 -v过滤 last -i | grep 0.0.0.0 -v | cut -d " " -f 14 截取只要ip列 last -i | grep 0.0.0.0 -v | awk ‘{...
自动化添加ELK监控脚本
卡布奇诺加点冰
09-06 689
#auto_add_elk.sh 根据给定参数自动添加ELK监控,Kibana仪表盘需要重新画! #版权声明:不定期更新维护地址,看这里→_→ https://blog.youkuaiyun.com/qq_16592497/article/details/82257251 #用法简介 function print_usage(){ echo -e "\e[1;31mThe number of param...
linux 监视ssh登录输出,适用于Linux的SSH登录监视器”
weixin_39678451的博客
05-12 209
保罗汤布林有正确的建议。设置日志记录在你的sshd_config指向一个syslog工具,你可以分别登录:=>见人3系统日志的更多的设施。选择一个像例如# LoggingSyslogFacility local5LogLevel INFO然后设置你的syslog.conf这样的:local5.info |/var/run/mysshwatcher.pipe添加你要写入/ etc/initta...
logstash实现nginx日志status报警
weixin_34403693的博客
09-24 279
http://blog.51cto.com/chentianwang/2065566
ELK系列 之 监控ssh登陆日志esalert告警
yuezhilangniao的博客
03-01 862
ELK版本问7,告警后面会用ESalert,前言引文:linux系统的安全日志为/var/log/secure,记录验证和授权方面的信息,只要涉及账号和密码的程序都会记录,比如SSH登录
【Paramiko与Nagios】:集成监控系统实现远程告警处理
[【Paramiko与Nagios】:集成监控系统实现远程告警处理](https://www.rosehosting.com/blog/wp-content/uploads/2021/05/how-to-set-up-nagios-4-to-monitor-your-servers-on-ubuntu-20.04.png) # 1. Paramiko与...
SSH审计与监控日志分析与实时警报系统构建
[SSH审计与监控日志分析与实时警报系统构建](https://sematext.com/wp-content/uploads/2020/09/log-analysis-tools-1024x560.jpg) # 1. SSH审计与监控概述 在现代信息安全领域,SSH(Secure Shell)作为一种安全...
SSH日志分析与审查】:监控华三设备SSH活动的专家指南
![【SSH日志分析与审查】:监控华三设备SSH活动的专家指南]...通过分析华三设备SSH日志的特殊性和高级审查技巧,本文探讨了有效监控和审计
监控数据自动化:Linux脚本实现监控数据收集的秘诀
![监控数据自动化:Linux脚本实现监控数据收集的秘诀]...# 1. 监控数据自动化的必要性和优势 ## 1.1 传统监控方法的局限性 在信息技术快速发展的今天,企业对系统性能和网络健康的监控要求日益严苛。...
【系统监控告警】:实时监控系统设计与故障排除速成课
![【系统监控告警】:实时监控系统设计与故障排除速成课]...此外,本文详细阐述了告警机制的设计、实现方法以及管理与优化,最后通过案例分析展
elk-minitor-ES监控信息送入prometheus
08-02
elk-minitor-ES监控信息送入prometheus
ELK基于ElastAlert实现日志的微信报警
yang的博客
03-31 1634
ELK基于ElastAlert实现日志的微信报警
ELK + Sentinl 日志实时监控报警 钉钉、邮件
Dragon714的博客
06-08 1万+
1、docker安装elk镜像:sebp/elk挂出的端口:5044,5601,9200,93002、进入容器,安装sentinl插件进入kibana安装目录:/etc/kibana/bin ,执行:./kibana-plugin install https://github.com/sirensolutions/sentinl/releases/download/tag-6.2.3-3/sent...
ELK 7.x -- elastalert 企业微信告警
谭谦的博客
06-25 4933
Elastalert_Wechat_Plugin 基于ElastAlert的微信企业号报警插件 https://github.com/Yelp/elastalert https://github.com/Hello-Linux/elastalert_wechat_plugin 使用说明 申请企业微信公众号在这里我就不详细说明了,大家可以看看网上的教程去申请 下面主要介绍一下该插件的使用方法 ...
ELK logstash邮件报警
weixin_34168880的博客
06-12 621
这个方法有一个问题就是我这边不能给我们公司的邮箱发邮件。还有就是我们有两个邮箱一个是腾讯企业邮箱,还有一个就是我们的集团邮箱 使用下面的这个方法是不能给我们的集团邮箱发邮件的。第二个问题就是这个方法给我们的腾讯企业邮箱发邮件的话,腾讯的企业邮箱会有一定的规则 当你一定时间发送太多邮件的话,这里就会拒收,服务器拒绝了。所以得用另外一种方法 input {    beats {      type =...
AlertManager实现企业微信报警
11
04-04 3142
ALertManager支持的报警方式有邮件报警、钉钉报警、微信报警,本次将实现企业微信报警。将我们写的告警规则的阈值调小即可触发告警,将阈值改为10。由于我们有3台node节点,因此都会发到同一条告警消息中。告警状态为resolved表示问题已解决已经恢复正常。告警状态为resolved表示问题已解决已经恢复正常。告警状态为firing表示问题发生,且没有处理。FIRING状态表示问题发生且已经发送告警。在我的企业—最下面就会有企业id。告警消息极其丰富,特别详细。告警消息极其丰富,特别详细。
Prometheus+Grafana+Alertmanager实现告警推送教程 ----- 图文详解
热门推荐
虚无境的博客
12-01 1万+
Prometheus UI是Prometheus内置的一个可视化管理界面,通过Prometheus UI用户能够轻松的了解Prometheus当前的配置,监控任务运行状态等。 通过Graph面板,用户还能直接使用PromQL实时查询监控数据。访问ServerIP:9090/graph打开WEB页面,通过PromQL可以查询数据,可以进行基础的数据展示。 如下所示,查询主机负载变化情况,可以使用关键字node_load1可以查询出Prometheus采集到的主机负载的样本数据,这些样本数据按照时间先后顺序.
ELK部署脚本---亲测可用
彭大帅的博客
07-30 956
注意事项部分扩展需要连接gethub网站,你懂的,可能导致部分插件安装失败,可以在脚本执行中跳过,待网络良好时再安装。elasticsearch-node1脚本脚本运行中会提示你输入部分信息如IP,日志文件路径以及日志文件类型等)提示"请输入您要监控的本机日志文件类型(对应ES索引)"system。logstash脚本脚本用来将相应的服务器主机的日志输出到ELK。提示"请输入ES节点1的IP"输入对应的节点IP即可。请注意在ES脚本中也有相关提示输入,按实际情况输入即可。................
设计云计算安全漏洞监测系统,明确功能需求十分关键。系统需有漏洞扫描、风险评估、实时监控告警等核心功能,论文设计,还有代码
最新发布
03-11
需要注意的是,用户提到的引用[1]和[2]提到了监控管理、审计日志告警管理等功能,引用[3]提到了大模型的安全风险,所以在设计系统时需要考虑这些方面,比如如何防止数据泄露,如何记录审计日志,如何管理网络设备...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值