我编写了一个 bash 命令来扫描/var/log/auth.log当天发生的表明未经授权的访问的消息。目前它只获取匹配BREAK-IN和 的消息unauthorized。
我还应该搜索哪些其他字符串来/var/log/auth.log监视未经授权的访问?
这是供参考的脚本:
cat /var/log/auth.log|grep "$(date|awk '{print $2" "$3}')"|grep -E '(BREAK-IN|Invalid user|Failed|refused|su|Illegal)'
编辑
以下是根据 Justins 的建议和我通过 Google 找到的信息修改后的命令
grep "$(date|awk '{print $2" "$3}')" /var/log/auth.log|grep -E '(BREAK-IN|Invalid user|Failed|refused|su|Illegal)'
答案1
您可以查找当有人尝试使用不存在的帐户登录时抛出的“无效用户”。当您输入无效密码时,它还会弹出“密码失败”。
另外,您不需要使用 cat 将文件转储到 grep。 Grep 已经可以将该文件作为第二个选项了。 'Grep 搜索条件 /path/tp/file'