当前位置：首页 > news >正文

日志审计-graylog ssh登录超过6次告警

news 2026/2/8 17:32:01

Apt 设备通过UDP收集日志，在gray创建接收端口192.168.0.187:1514

1、ssh登录失败次数大于5次

ssh日志级别默认为INFO级别，通过系统rsyslog模块处理，日志默认存储在/var/log/auth.log。

将日志转发到graylog

vim /etc/rsyslog.conf

文件末尾追加

if $programname == 'sshd' then @192.168.0.187:1514

重启rsyslog服务

sudo systemctl restart rsyslog

以错误密码登录

graylog查看，自动刷新日志

错误密码登录

页面可以看见产生的日志

完整的日志内容

Aug 21 07:00:18 a sshd[20129]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.0.108 user=root	[第一阶段]身份验证失败阶段
Aug 21 07:00:20 a sshd[20129]: Failed password for root from 192.168.0.108 port 61432 ssh2	[第二阶段]首次密码验证失败阶段
Aug 21 07:01:00 a sshd[20129]: message repeated 4 times: [ Failed password for root from 192.168.0.108 port 61432 ssh2]	[第三阶段]多次重复的密码验证失败阶段
Aug 21 07:01:25 a sshd[20129]: Failed password for root from 192.168.0.108 port 61432 ssh2	[第四阶段]最终的密码验证失败阶段
Aug 21 07:01:26 a sshd[20129]: error: maximum authentication attempts exceeded for root from 192.168.0.108 port 61432 ssh2 [preauth]	[第五阶段]超过最大尝试次数阶段。SSH 服务决定断开连接并阻止进一步的尝试
Aug 22 02:27:32 a sshd[26318]: Disconnecting authenticating user root 192.168.0.108 port 60267: Too many authentication failures [preauth]	[第六阶段]断开连接
Aug 22 02:27:32 a sshd[26318]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.0.108 user=root	[第七阶段]由PAM模块产生，提示认证失败一次基础上，又尝试了5次。即一共失败6次

在最后一个阶段产生的日志，PAM模块会记录首次失败后，继续尝试连接失败次数，

PAM 5 这里次数为5，即首次失败1次，加上后续尝试次数5，一共6次失败产生。

这个日志产生的条件

1、达到ssh服务配置最大尝试次数上限，服务器主动断开连接，PAM模块产生后续尝试次数

2、客户端主动断开连接，PAM统计后续尝试次数。

对于ssh登录失败，使用最后一个日志作为目标日志，因为他在下面每个场景都会产生

1、用户登录失败1次，断开连接。这里失败没有继续尝试，操作没有风险

2、用户多次尝试失败，断开连接，产生PAM，根据尝试次数决定是否告警

3、用户尝试多次，服务器主动段考连接，产生PAM，根据尝试次数，决定是否告警

这里有一个问题，如果客户在同一客户端，一直用不同的连接尝试访问，就不会产生PAM，也有暴力破解的风险，对这个情况，要加一个告警日志聚合，就是针对第二个的日志对ip聚合统计。如果超过规定次数也告警。

Graylog pipline清洗数据追加问题字段

ssh登录失败N次就告警

聚合场景一：存在PAM日志

配置 extractor提取，在数据进入stream前先解析，拿到次数，并追加failedtime:[次数]字段

对原始日志，配置json解析

到这里随便加载一个就行

选择正则表达式提取

正则表达式，可以提取次数

PAM (\d+) more authentication failure

转换成数值，后面告警进行聚合操作时，需要判断决定是否告警

聚合场景二：不存在PAM

Failed password字段存在，统计源目的ip出现次数，

pipline规则

提取服务器IP

rule "gl2_remote_ip rename"
when
has_field("gl2_remote_ip")
then
set_field("server_ip", to_string($message.gl2_remote_ip));
end

提取源IP

rule "ssh password for from"
when
contains(value: to_string($message.message), search: "ssh", ignore_case: false)
then
let m = regex("(Failed|Accepted) password for (\\S+) from (\\S+)\\s+port\\s+(\\d+)",to_string($message.message));
set_field("command", to_string(m["0"]));
set_field("account", to_string(m["1"]));
set_field("remote_addr", to_string(m["2"]));
set_field("remote_port", to_string(m["3"]));
end

总结：

PAM日志将会追加

trytime

Failed password将会追加

remote_addr

192.168.0.108

server_ip

192.168.0.18

Graylog Alert聚合规则

PAM日志聚合规则

1、字段匹配

首先过滤日志中的字段

message: "sshd" AND message: "PAM" AND message: "more authentication"

在进行聚合匹配前先对周期内的日志根据源目的IP分类

对同类日志，配置聚合规则，失败次数大于4就告警

测试

尝试登录，且填写错误密码，登录6次

查看告警内容

问题：

1、graylog运行状态

graylog所有的功能都是基于日志的，如果不能连续提供日志，grayLog所有功能就会暂停；比如，现在存在匹配告警的日志，但此刻没有新的日志到graylog，那么这个应该匹配告警的日志，就不会产生告警，只能在之后继续收日志的时候才能继续工作上报告警，存在漏报的问题。（不过实际场景，日志应该会很多，持续上报，不存在这个问题）

日志审计-graylog ssh登录超过6次告警

1、ssh登录失败次数大于5次

将日志转发到graylog

以错误密码登录

Graylog pipline清洗数据追加问题字段

总结：

Graylog Alert聚合规则

测试

问题：

相关文章：

日志审计-graylog ssh登录超过6次告警

4. kafka消息监控客户端工具

鸿蒙环境和模拟器安装

【图文并茂】ant design pro 如何对接后端个人信息接口

MySQL运维学习（1）：4种日志

代码随想录算法训练营第二十天（二叉树七）

Django 后端架构开发：通用表单视图、组件对接、验证机制和组件开发

Cookie和Session是什么？它们的区别是什么？

Python正则表达式提取车牌号

视觉引导机械臂学习记录

插屏广告在游戏APP中广告变现的独特优势

Python数据分析：数据可视化（Matplotlib、Seaborn）

Java CompletableFuture：你真的了解它吗？

5个免费在线 AI 绘画网站推荐，附100+提示词！

C++基础语法:while的使用

鹏哥C语言自定义笔记重点(29-)

代码随想录算法训练营第六十天 | dijkstra（堆优化版）、Bellman_ford 算法精讲

boost::asio 库版本，C/C++代码编译兼容性

前端开发的项目导入方法与应用

C++：模拟实现string

【Axure高保真原型】引导弹窗

龙虎榜——20250610

网络六边形受到攻击

Linux 文件类型，目录与路径，文件与目录管理

智慧医疗能源事业线深度画像分析（上）

利用ngx_stream_return_module构建简易 TCP/UDP 响应网关

Spring Boot 实现流式响应（兼容 2.7.x）

uni-app学习笔记二十二---使用vite.config.js全局导入常用依赖

什么是库存周转？如何用进销存系统提高库存周转率？

如何在看板中有效管理突发紧急任务