Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 08/02/2014, à 02:31

nicop83

Pam_ unix dans auth.log

Bonsoir,

je me permet de vous contacter car j'ai un soucis.
J'essaie d’identifier et de comptabiliser les échecs de connexions ssh en analysant le fichier auth.log
Après plusieurs échecs volontaires de connexions je vérifie les logs avec la commande suivante:

grep -E "sshd.+ail" /var/log/auth.log

Une vingtaine de lignes remontent, et montrent effectivement toutes les tentatives non réussies en ssh
jusqu'ici rien d'anormal.....

Maintenant si j'essaie de comptabiliser les échecs de connexions en identifiant la source

grep -E "sshd.+ail" /var/log/auth.log | grep -Eo "[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}" | grep uniq -c

Ici ne sont présentent que 6 connexions "failed" alors qu'effectivement il y en a beaucoup plus.
Comment faire pour que tous les échecs de connexion remontent avec l'adresse IP de la source.
J'ai l'impression que pour certains echec de connexion la PAM les concatènent en une ligne sans donner l'@ip source.
est il possible de modifier les paramètres Pam afin qu'il ne s'affiche pas dans les fichiers log et qu'à la place les @ip soient visibles comme dans les autres lignes du fichiers.

En espérant avoir été le plus clair possible.
Merci

Hors ligne