WGCLOUD監(jiān)測(cè)平臺(tái),有個(gè)日志監(jiān)控模塊么鹤,我們本文就用它來(lái)進(jìn)行ubuntu的入侵檢測(cè)分析偎谁,主要想監(jiān)測(cè)ssh登錄失敗的日志
準(zhǔn)備:ubuntu 20,WGCLOUD v3.4.5
ubuntu的登錄日志文件纯蛾,用于分析用戶登錄行為:/var/log/auth.log,我們今天就用ubuntu了
提示:如果是centos系統(tǒng)纵隔,分析用戶登錄行為的日志文件是var/log/secure
1翻诉、我們?cè)谌罩玖斜恚c(diǎn)擊添加按鈕
2捌刮、輸入一些必要的信息碰煌,這里我設(shè)置的錯(cuò)誤關(guān)鍵字為Disconnected,Failed,多個(gè)關(guān)鍵字可以用逗號(hào)隔開(kāi)绅作,英文逗號(hào)
3拄查、如果系統(tǒng)掃描檢測(cè)到在日志文件中,包含錯(cuò)誤關(guān)鍵字棚蓄,就會(huì)在列表中顯示處理堕扶,如下圖
點(diǎn)擊記錄,就可以進(jìn)去看詳細(xì)的日志信息
再點(diǎn)擊查看梭依,就看到日志內(nèi)容了稍算,其中行首的 Line-254 標(biāo)識(shí)日志文件中的第幾行出現(xiàn)的內(nèi)容,它會(huì)把包含關(guān)鍵字的每行都提取出來(lái)役拴,展示到頁(yè)面糊探,如下圖
4、日志文件掃描是默認(rèn)10分鐘掃描一次河闰,可以修改科平,在agent配置文件config/application.properties中,如下
#監(jiān)控日志文件掃描間隔時(shí)間姜性,單位秒瞪慧,默認(rèn)10分鐘,個(gè)人版值不能小于600部念,專(zhuān)業(yè)版可以小于600
logCheckSeconds=600
修改完后弃酌,需要重啟下agent,才能生效
5儡炼、如果我們配置過(guò)告警方式妓湘,比如郵件,微信乌询,釘釘?shù)确绞桨裉?dāng)檢測(cè)到日志包含關(guān)鍵字時(shí)候,我們就會(huì)收到消息
