Am 2005-03-30 11:36:49, schrieb Klaus Schuehler:
> Hallo,
>
> ich nutze Logcheck und suche nach einer Möglichkeit um mich
> bbei Loginversuche über ssh sofort per Mail zu Informieren.
> Logcheck sammelt ja ersteinmal und versendet irgendwann
> die Mail.
>
> Gibt es noch besser Tools zur Auswertung von Logfiles die
> anstatt oder zus. zu Logcheck installiert werden können.
> Evtl. Grafische Auswertung.
Nimm ein BASH Script und werte mit 'tail -f <datei>" dann
Zeile für Zeile mit
| grep -i "sshd\[.*: illegal user"
oder
| grep -i "POSSIBLE BREAKIN ATTEMPT"
aus...
Generiere eine E-Mail mit
__( example )_____________________________________________
/
| TMPFILE=`tmpfile`
| echo "From: root@deine_kiste.tld" >>$TMPFILE
| echo "To: klaus.shuehler@eine_domain.tld" >>$TMPFILE
| echo "Subject: [SSHD-ALARM] $RETVAL" >>$TMPFILE
| echo "Date: `date -R`" >>$TMPFILE
| echo "" >>$TMPFILE
| cat $LOGTATEI >>$TMPFILE
|
| cat $TMPFILE |ssmtp -t
\__________________________________________________________
$RETVAL ist das, was der oben genannte grep zurückgibt.
Anmerkung:
Ich habe pro Tag ein paar hunder Versuche und meine Authlog lasse ich
mittlerweile täglich rotieren. - mit ner größe von gut 500 kByte
(nur 'grep " sshd\["')
Seit dem 27.03 ist es allerdings sehr ruhig...
Siehe angehängte Logdatei
> Viele Grüsse Klaus
Greetings
Michelle
--
Linux-User #280138 with the Linux Counter, http://counter.li.org/
Michelle Konzack Apt. 917 ICQ #328449886
50, rue de Soultz MSM LinuxMichi
0033/3/88452356 67100 Strasbourg/France IRC #Debian (irc.icq.com)
Attachment:
auth.log.gz
Description: Binary data
Attachment:
signature.pgp
Description: Digital signature