日志审计-graylog ssh登录超过6次告警

2024-08-23 01:44

本文主要是介绍日志审计-graylog ssh登录超过6次告警,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

Apt 设备通过UDP收集日志,在gray创建接收端口192.168.0.187:1514

1、ssh登录失败次数大于5次

ssh日志级别默认为INFO级别,通过系统rsyslog模块处理,日志默认存储在/var/log/auth.log。

将日志转发到graylog

vim /etc/rsyslog.conf

文件末尾追加

if $programname == 'sshd' then @192.168.0.187:1514

重启rsyslog服务

sudo systemctl restart rsyslog

以错误密码登录

graylog查看,自动刷新日志

错误密码登录

页面可以看见产生的日志

完整的日志内容

Aug 21 07:00:18 a sshd[20129]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.0.108  user=root

[第一阶段]身份验证失败阶段

Aug 21 07:00:20 a sshd[20129]: Failed password for root from 192.168.0.108 port 61432 ssh2

[第二阶段]首次密码验证失败阶段

Aug 21 07:01:00 a sshd[20129]: message repeated 4 times: [ Failed password for root from 192.168.0.108 port 61432 ssh2]

[第三阶段]多次重复的密码验证失败阶段

Aug 21 07:01:25 a sshd[20129]: Failed password for root from 192.168.0.108 port 61432 ssh2

[第四阶段]最终的密码验证失败阶段

Aug 21 07:01:26 a sshd[20129]: error: maximum authentication attempts exceeded for root from 192.168.0.108 port 61432 ssh2 [preauth]

[第五阶段]超过最大尝试次数阶段。SSH 服务决定断开连接并阻止进一步的尝试

Aug 22 02:27:32 a sshd[26318]: Disconnecting authenticating user root 192.168.0.108 port 60267: Too many authentication failures [preauth]

[第六阶段]断开连接

Aug 22 02:27:32 a sshd[26318]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.0.108  user=root

[第七阶段]由PAM模块产生,提示认证失败一次基础上,又尝试了5次。即一共失败6次

在最后一个阶段产生的日志,PAM模块会记录首次失败后,继续尝试连接失败次数,

PAM 5 这里次数为5,即首次失败1次,加上后续尝试次数5,一共6次失败产生。

这个日志产生的条件

1、达到ssh服务配置最大尝试次数上限,服务器主动断开连接,PAM模块产生后续尝试次数

2、客户端主动断开连接,PAM统计后续尝试次数。

对于ssh登录失败,使用最后一个日志作为目标日志,因为他在下面每个场景都会产生

1、用户登录失败1次,断开连接。这里失败没有继续尝试,操作没有风险

2、用户多次尝试失败,断开连接,产生PAM,根据尝试次数决定是否告警

3、用户尝试多次,服务器主动段考连接,产生PAM,根据尝试次数,决定是否告警

这里有一个问题,如果客户在同一客户端,一直用不同的连接尝试访问,就不会产生PAM,也有暴力破解的风险,对这个情况,要加一个告警日志聚合,就是针对第二个的日志对ip聚合统计。如果超过规定次数也告警。

Graylog pipline清洗数据追加问题字段

ssh登录失败N次就告警

  • 聚合场景一:存在PAM日志

配置 extractor提取,在数据进入stream前先解析,拿到次数,并追加failedtime:[次数]字段

对原始日志,配置json解析

到这里随便加载一个就行

选择正则表达式提取

正则表达式,可以提取次数

PAM (\d+) more authentication failure

转换成数值,后面告警进行聚合操作时,需要判断决定是否告警

  • 聚合场景二:不存在PAM

Failed password字段存在,统计源目的ip出现次数,

pipline规则

提取服务器IP

rule "gl2_remote_ip rename"
when
  has_field(
"gl2_remote_ip")
then
  set_field(
"server_ip", to_string($message.gl2_remote_ip));
end

 

提取源IP

rule "ssh password for from"
when
  contains(value: to_string($message.message), search:
"ssh", ignore_case: false)
then
  let m = regex(
"(Failed|Accepted) password for (\\S+) from (\\S+)\\s+port\\s+(\\d+)",to_string($message.message));
  set_field(
"command", to_string(m["0"]));
  set_field(
"account", to_string(m["1"]));
  set_field(
"remote_addr", to_string(m["2"]));
  set_field(
"remote_port", to_string(m["3"]));
end

总结:

PAM日志将会追加

trytime

1

Failed password将会追加

remote_addr

192.168.0.108

server_ip

192.168.0.18

 

Graylog Alert聚合规则

PAM日志聚合规则

1、字段匹配

首先过滤日志中的字段

message: "sshd" AND message: "PAM" AND message: "more authentication"

在进行聚合匹配前先对周期内的日志根据源目的IP分类

对同类日志,配置聚合规则,失败次数大于4就告警

测试

尝试登录,且填写错误密码,登录6次

查看告警内容

问题:

1、graylog运行状态

graylog所有的功能都是基于日志的,如果不能连续提供日志,grayLog所有功能就会暂停;比如,现在存在匹配告警的日志,但此刻没有新的日志到graylog,那么这个应该匹配告警的日志,就不会产生告警,只能在之后继续收日志的时候才能继续工作上报告警,存在漏报的问题。(不过实际场景,日志应该会很多,持续上报,不存在这个问题)

这篇关于日志审计-graylog ssh登录超过6次告警的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1097995

相关文章

springboot security验证码的登录实例

《springbootsecurity验证码的登录实例》:本文主要介绍springbootsecurity验证码的登录实例,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,... 目录前言代码示例引入依赖定义验证码生成器定义获取验证码及认证接口测试获取验证码登录总结前言在spring

SpringBoot日志配置SLF4J和Logback的方法实现

《SpringBoot日志配置SLF4J和Logback的方法实现》日志记录是不可或缺的一部分,本文主要介绍了SpringBoot日志配置SLF4J和Logback的方法实现,文中通过示例代码介绍的非... 目录一、前言二、案例一:初识日志三、案例二:使用Lombok输出日志四、案例三:配置Logback一

golang 日志log与logrus示例详解

《golang日志log与logrus示例详解》log是Go语言标准库中一个简单的日志库,本文给大家介绍golang日志log与logrus示例详解,感兴趣的朋友一起看看吧... 目录一、Go 标准库 log 详解1. 功能特点2. 常用函数3. 示例代码4. 优势和局限二、第三方库 logrus 详解1.

如何自定义Nginx JSON日志格式配置

《如何自定义NginxJSON日志格式配置》Nginx作为最流行的Web服务器之一,其灵活的日志配置能力允许我们根据需求定制日志格式,本文将详细介绍如何配置Nginx以JSON格式记录访问日志,这种... 目录前言为什么选择jsON格式日志?配置步骤详解1. 安装Nginx服务2. 自定义JSON日志格式各

SpringBoot项目使用MDC给日志增加唯一标识的实现步骤

《SpringBoot项目使用MDC给日志增加唯一标识的实现步骤》本文介绍了如何在SpringBoot项目中使用MDC(MappedDiagnosticContext)为日志增加唯一标识,以便于日... 目录【Java】SpringBoot项目使用MDC给日志增加唯一标识,方便日志追踪1.日志效果2.实现步

SQL Server清除日志文件ERRORLOG和删除tempdb.mdf

《SQLServer清除日志文件ERRORLOG和删除tempdb.mdf》数据库再使用一段时间后,日志文件会增大,特别是在磁盘容量不足的情况下,更是需要缩减,以下为缩减方法:如果可以停止SQLSe... 目录缩减 ERRORLOG 文件(停止服务后)停止 SQL Server 服务:找到错误日志文件:删除

最新Spring Security实战教程之表单登录定制到处理逻辑的深度改造(最新推荐)

《最新SpringSecurity实战教程之表单登录定制到处理逻辑的深度改造(最新推荐)》本章节介绍了如何通过SpringSecurity实现从配置自定义登录页面、表单登录处理逻辑的配置,并简单模拟... 目录前言改造准备开始登录页改造自定义用户名密码登陆成功失败跳转问题自定义登出前后端分离适配方案结语前言

Oracle登录时忘记用户名或密码该如何解决

《Oracle登录时忘记用户名或密码该如何解决》:本文主要介绍如何在Oracle12c中忘记用户名和密码时找回或重置用户账户信息,文中通过代码介绍的非常详细,对同样遇到这个问题的同学具有一定的参... 目录一、忘记账户:二、忘记密码:三、详细情况情况 1:1.1. 登录到数据库1.2. 查看当前用户信息1.

grom设置全局日志实现执行并打印sql语句

《grom设置全局日志实现执行并打印sql语句》本文主要介绍了grom设置全局日志实现执行并打印sql语句,包括设置日志级别、实现自定义Logger接口以及如何使用GORM的默认logger,通过这些... 目录gorm中的自定义日志gorm中日志的其他操作日志级别Debug自定义 Loggergorm中的

SpringBoot项目注入 traceId 追踪整个请求的日志链路(过程详解)

《SpringBoot项目注入traceId追踪整个请求的日志链路(过程详解)》本文介绍了如何在单体SpringBoot项目中通过手动实现过滤器或拦截器来注入traceId,以追踪整个请求的日志链... SpringBoot项目注入 traceId 来追踪整个请求的日志链路,有了 traceId, 我们在排