secがタイムスタンプを適切に無視するようにする方法

そのように設定されたルールがあります。

/etc/sec/rules.dにあります。

type=SingleWithSuppress
ptype=regexp
pattern=(\S+) sshd\[\d+\]: PAM \d+ more authentication failures\; logname=.* uid=.* euid=.* tty=ssh ruser=.* rhost=(.*) user=(.*)
desc=Login Failure: $0
action=pipe '%s ' /bin/mail -s "login failure $2 to $3@$1" team@team.com
window=300

したがって、これがsyslogを介して行われた場合、

Nov 21 11:24:10 servername.server.com sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost= user=kloggins

パターンに応じてこれに一致する必要があります（正規表現エディターによると一致します）。

servername.server.com sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost= user=kloggins

タイムスタンプが変更されたため、スパムの問題が発生していました。そのため、ホスト名の後のすべてに一致するようにパターンを書き直しました。

ただし、これは機能していないようで、ユーザーが「認証に失敗する」たびに、電子メールを受け取ります。

私はテストするために以下を使用しています;

logger -p syslog.err 'sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost= user='

何か案は？秒を誤解しているだけかもしれません。私がこれを使って作業するのは初めてです！どんな助けも大歓迎です。ありがとう！

まあ、ほぼ一日の髪を引っ張った後、私は最終的にa）それを行う方法とb）私が約持っている誤解を理解しています。

secのマニュアルページを読むと、desc =は本質的に一致を示していると説明されています。したがって、私の考えでは、パターンで一致したものをすべて表示する必要があるということです。まあ、はい、それは本当です。この場合、そのパターンでの一致は次のとおりです。ホスト名、rhost、およびユーザー。

したがって、desc = Login Failure：$ 0を実行しているときは、行全体をキーオフしています。それは良くないね。

そのため、代わりにユーザー名とホスト名をキーオフするように変更しました。これにより、タイムスタンプ（行全体）が変更されていないため、window = 300ルールに準拠します。別名、次の要約。

/etc/sec/rules.d/ssh.sec

type=SingleWithSuppress
ptype=regexp
pattern=(\S+) sshd\[\d+\]: PAM \d+ more authentication failures\; logname=.* uid=.* euid=.* tty=ssh ruser=.* rhost=(.*) user=(.*)
desc=Login Failure: $3@$1
action=pipe '%s $0' /bin/mail -s "Login Failure: $3@$1" email@email.com
window=300

エラーライン

Nov 21 01:58:10 test.test.com sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=test.test.com user=kloggins

ユーザーkloggins@test.test.comに気づき、300秒後に再び発生しない限り、kloggins @ test.test.comをキーオフしたため、レポートしません。

私は今、それを数回テストしました、それは「ワーキン」です。