Saya memiliki aturan yang diatur seperti itu;
Di /etc/sec/rules.d saya punya;
type=SingleWithSuppress
ptype=regexp
pattern=(\S+) sshd\[\d+\]: PAM \d+ more authentication failures\; logname=.* uid=.* euid=.* tty=ssh ruser=.* rhost=(.*) user=(.*)
desc=Login Failure: $0
action=pipe '%s ' /bin/mail -s "login failure $2 to $3@$1" team@team.com
window=300
Jadi jika ini datang melalui syslog;
Nov 21 11:24:10 servername.server.com sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost= user=kloggins
Itu harus cocok dengan ini (yang, menurut editor regex saya) sesuai dengan pola;
servername.server.com sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost= user=kloggins
Kami mengalami masalah dengan spam karena stempel waktu berubah. Jadi saya menulis ulang pola untuk mencocokkan semuanya setelah nama host.
Namun, ini sepertinya tidak berfungsi dan setiap kali pengguna "otentikasi gagal", saya masih mendapatkan email.
Saya telah menggunakan yang berikut untuk menguji;
logger -p syslog.err 'sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost= user='
Ada ide? Saya mungkin hanya salah paham sec. Ini adalah pertama kalinya saya bekerja dengannya! Bantuan apa pun akan sangat dihargai. Terima kasih!