আমি কীভাবে সেকেন্ডে কোনও টাইমস্ট্যাম্পকে সঠিকভাবে উপেক্ষা করব

আমার এমন একটি নিয়ম রয়েছে যা এর মতো সেট আপ করা হয়;

/Etc/sec/rules.d এ আমার আছে;

type=SingleWithSuppress
ptype=regexp
pattern=(\S+) sshd\[\d+\]: PAM \d+ more authentication failures\; logname=.* uid=.* euid=.* tty=ssh ruser=.* rhost=(.*) user=(.*)
desc=Login Failure: $0
action=pipe '%s ' /bin/mail -s "login failure $2 to $3@$1" team@team.com
window=300

সুতরাং এটি যদি সিসলগের মাধ্যমে আসে;

Nov 21 11:24:10 servername.server.com sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost= user=kloggins

প্যাটার্ন অনুসারে এটি এর সাথে মিলবে (যা এটি আমার রেজেক্স সম্পাদক অনুসারে কাজ করে);

servername.server.com sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost= user=kloggins

টাইমস্ট্যাম্প পরিবর্তিত হওয়ায় আমাদের স্প্যাম নিয়ে সমস্যা ছিল। তাই আমি হোস্টনামের পরে সমস্ত কিছু মেলে প্যাটার্নটি আবার লিখলাম।

তবে, এটি কাজ করছে বলে মনে হয় না এবং প্রতিবার কোনও ব্যবহারকারী "প্রমাণীকরণ ব্যর্থ হয়", তবুও আমি একটি ইমেল পাই get

আমি পরীক্ষার জন্য নিম্নলিখিত ব্যবহার করছি;

logger -p syslog.err 'sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost= user='

কোন ধারনা? আমি কেবল সেকেন্ডের ভুল বোঝাবুঝি করছি। এই প্রথম আমি এটির সাথে কাজ করছি! কোন সাহায্যের ব্যাপকভাবে প্রশংসা হবে। ধন্যবাদ!

ঠিক আছে, চুল টানার প্রায় এক দিন পরে, আমি অবশেষে বুঝতে পারি) ক) এটি কীভাবে করা যায় এবং খ) সেকেন্ড সম্পর্কে আমার একটি ভুল ধারণা রয়েছে।

সেকেন্ড ম্যান পৃষ্ঠাটি পড়ার সময় এবং এটি desc = বর্ণনা করে যা মূলত ম্যাচটি দেখায়। সুতরাং আমার মনে, এর অর্থ এটি প্যাটার্নে যা কিছু মিলেছিল তা দেখানো উচিত। ঠিক আছে, হ্যাঁ, এটি সত্য, এক্ষেত্রে সেই প্যাটার্নটিতে ম্যাচটি হ'ল; হোস্টনাম, rhost, এবং ব্যবহারকারী।

সুতরাং যখন আমি ডেস্ক = লগইন ব্যর্থতা: $ 0 করছি তখন আমি সম্পূর্ণ লাইনটি বন্ধ করে দিচ্ছি। এটা খারাপ.

সুতরাং পরিবর্তে আমি এটিকে ব্যবহারকারীর নাম এবং হোস্টনামের কীতে পরিবর্তন করেছি, যার ফলে টাইমস্ট্যাম্প (পুরো লাইন) পরিবর্তন না হওয়ায় উইন্ডো = 300 রুলের সাথে এটি মেনে চলতে পারে; ওরফে, নিম্নলিখিত রুনডাউন;

/etc/sec/rules.d/ssh.sec

type=SingleWithSuppress
ptype=regexp
pattern=(\S+) sshd\[\d+\]: PAM \d+ more authentication failures\; logname=.* uid=.* euid=.* tty=ssh ruser=.* rhost=(.*) user=(.*)
desc=Login Failure: $3@$1
action=pipe '%s $0' /bin/mail -s "Login Failure: $3@$1" email@email.com
window=300

ত্রুটি রেখা

Nov 21 01:58:10 test.test.com sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=test.test.com user=kloggins

এটি ব্যবহারকারী kloggins@test.test.com লক্ষ্য করবে এবং 300 সেকেন্ড পরে আবার না হওয়া পর্যন্ত এটির বিষয়ে রিপোর্ট করবে না, কারণ এটি kloggins@test.test.com বন্ধ করে দিয়েছে।

আমি এখন এটি বেশ কয়েকবার পরীক্ষা করেছি, এটি 'ওয়ার্কিন'।