Splunkでsshdのログを扱う
提供: セキュリティ
2013年8月11日 (日) 17:04時点におけるDaemon (トーク | 投稿記録)による版 (ページの作成:「<!-- vim: filetype=mediawiki --> ここでは、sshdのログとして /var/log/secure を Splunk に追加する例です。 '''読み方''' ;[[{{PAGENAM...」)
スポンサーリンク
ここでは、sshdのログとして /var/log/secure を Splunk に追加する例です。
読み方
- Splunkでsshdのログを扱う
概要
syslog を追加する
ここでは、試験的に /var/log/secure を追加する例です。
- 「データの追加」から Splunk にデータを追加します。
- syslog を追加してみます。
- ローカルにあるログを追加します。
- 「この Splunk サーバー上にある任意の syslog ファイルまたはディレクトリを使用する」を選択します。
- 「データのプレビュー」で /var/log/secure を追加します。
- 「ソースタイプの設定」を求められます。
- 自動検出されたソースタイプを使用: linux_secure とでます。
- 「続行」をクリックすると、データがインデックスされます。
検索
- fail* とすると 「失敗」に関するログを検索できます。
- 大文字小文字は虫されます。
- fail* root とすると root の「失敗」に関するログが引っ張れます。
- ssh の /var/log/secure のログの場合は、以下のキーワードで検索すると良いでしょう。
- Accepted
- Failed
- invalid
関連項目
ツイート
スポンサーリンク