Pages : 1
#1 Le 08/02/2014, à 03:31
- nicop83
Pam_ unix dans auth.log
Bonsoir,
je me permet de vous contacter car j'ai un soucis.
J'essaie d’identifier et de comptabiliser les échecs de connexions ssh en analysant le fichier auth.log
Après plusieurs échecs volontaires de connexions je vérifie les logs avec la commande suivante:
grep -E "sshd.+ail" /var/log/auth.log
Une vingtaine de lignes remontent, et montrent effectivement toutes les tentatives non réussies en ssh
jusqu'ici rien d'anormal.....
Maintenant si j'essaie de comptabiliser les échecs de connexions en identifiant la source
grep -E "sshd.+ail" /var/log/auth.log | grep -Eo "[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}" | grep uniq -c
Ici ne sont présentent que 6 connexions "failed" alors qu'effectivement il y en a beaucoup plus.
Comment faire pour que tous les échecs de connexion remontent avec l'adresse IP de la source.
J'ai l'impression que pour certains echec de connexion la PAM les concatènent en une ligne sans donner l'@ip source.
est il possible de modifier les paramètres Pam afin qu'il ne s'affiche pas dans les fichiers log et qu'à la place les @ip soient visibles comme dans les autres lignes du fichiers.
En espérant avoir été le plus clair possible.
Merci
Hors ligne
Pages : 1