我应该在 /var/log/auth.log 中查找哪些字符串?

我应该在 /var/log/auth.log 中查找哪些字符串?

我编写了一个 bash 命令来扫描/var/log/auth.log当天发生的表明未经授权的访问的消息。目前它只获取匹配BREAK-IN和 的消息unauthorized

我还应该搜索哪些其他字符串来/var/log/auth.log监视未经授权的访问?

这是供参考的脚本:

cat /var/log/auth.log|grep "$(date|awk '{print $2" "$3}')"|grep -E '(BREAK-IN|Invalid user|Failed|refused|su|Illegal)'

编辑

以下是根据 Justins 的建议和我通过 Google 找到的信息修改后的命令

grep "$(date|awk '{print $2" "$3}')" /var/log/auth.log|grep -E '(BREAK-IN|Invalid user|Failed|refused|su|Illegal)'

答案1

您可以查找当有人尝试使用不存在的帐户登录时抛出的“无效用户”。当您输入无效密码时,它还会弹出“密码失败”。

另外,您不需要使用 cat 将文件转储到 grep。 Grep 已经可以将该文件作为第二个选项了。 'Grep 搜索条件 /path/tp/file'

相关内容