Splunkでsshdのログを扱う

提供: セキュリティ
2013年8月11日 (日) 17:04時点におけるDaemon (トーク | 投稿記録)による版 (ページの作成:「<!-- vim: filetype=mediawiki --> ここでは、sshdのログとして /var/log/secureSplunk に追加する例です。 '''読み方''' ;[[{{PAGENAM...」)

(差分) ←前の版 | 最新版 (差分) | 次の版→ (差分)
移動: 案内検索
スポンサーリンク


ここでは、sshdのログとして /var/log/secureSplunk に追加する例です。

読み方

Splunkでsshdのログを扱う

概要

syslog を追加する

ここでは、試験的に /var/log/secure を追加する例です。

  • 「データの追加」から Splunk にデータを追加します。
  • syslog を追加してみます。
  • ローカルにあるログを追加します。
    • 「この Splunk サーバー上にある任意の syslog ファイルまたはディレクトリを使用する」を選択します。
  • 「データのプレビュー」で /var/log/secure を追加します。
  • 「ソースタイプの設定」を求められます。
    • 自動検出されたソースタイプを使用: linux_secure とでます。
  • 「続行」をクリックすると、データがインデックスされます。


検索

  • fail* とすると 「失敗」に関するログを検索できます。
    • 大文字小文字は虫されます。
  • fail* root とすると root の「失敗」に関するログが引っ張れます。
  • ssh の /var/log/secure のログの場合は、以下のキーワードで検索すると良いでしょう。
    • Accepted
    • Failed
    • invalid


関連項目



スポンサーリンク

https://kaworu.jpn.org/security/index.php?title=Splunkでsshdのログを扱う&oldid=1079」から取得