我正在尝试通过splunk编写查询,以查找用于Linux中身份验证的SSH日志。关于编写此查询所需的查询的任何想法?我是新手,所以任何信息都会有所帮助。
这是我开始但无济于事的时间:
sshd“无效的用户” NOT端口NOT“ preauth]” | iplocation InvalidSSHIP
我强烈建议您将Splunk TA用于Nix,https://splunkbase.splunk.com/app/833/
在其中,您将找到SSH事件日志的通用输入和字段提取以及其他通用* nix格式。
如果遵循此TA,则可以通过以下搜索找到正在寻找的事件
index=os eventtype=ssh*