如何统计/var/log/secure文件中非法尝试ssh的用户登录的ip及其尝试次数

liuboo

如题

walkerxk

我的服务器上没有这个文件，你可以把内容发一部分出来，如果涉及安全问题的话你可以自己改掉一部分。

无声无息

/var/log/secure在redhat中有
先用uniq -c统计次数，然后在找出ip

walkerxk

要先sort的吧，还有可能用cut或者sed处理一下。不知道和ubuntu的lastb是不是一样。

无声无息

我只是简略了，和普通的日志差不多
ls说的只是一个成功登陆的记录，/var/log/secure所有链接记录都有的

walkerxk

不是，last记录成功的记录，lastb记录失败的记录，两个对应的文件也不一样，一个是/var/log/wtmp，一个是/var/log/btmp。

walkerxk

如果/var/log/secure是文本形式的话可以这样：
grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}' /var/log/secure|sort|uniq -c，没有资料，所以不保证成功。

liuboo

原帖由 walkerxk 于 2008-6-29 20:23 发表
如果/var/log/secure是文本形式的话可以这样：
grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}' /var/log/secure|sort|uniq -c，没有资料，所以不保证成功。

谢谢，答案与此相差无几。这是昨天的一个小作业，我没有头绪，所以就发贴上来了，没想到有这么多热心的人回复，真的是很感谢各位~！

nuclearxin

.... home  work~~~~~~!
awk '/fucking/{a[$usename,$ip]+}END{for(i in a)print i,a[ i]'
searching  for  awk

[ 本帖最后由 nuclearxin 于 2008-6-30 10:38 编辑 ]

walkerxk

原帖由 liuboo 于 2008-6-30 10:28 发表

谢谢，答案与此相差无几。这是昨天的一个小作业，我没有头绪，所以就发贴上来了，没想到有这么多热心的人回复，真的是很感谢各位~！

-_-!多？我怎么就看到两个？难道有人被我选择性无视了？