linux:monitoring
Inhaltsverzeichnis
Monitoring
System
SSH
Auflisten von IP-Adressen von SSH-Scans
Wie man (bei Debian) herausbekommt, welche IPs es wie oft versucht haben, mit welchen Benutzernamen per ssh reinzukommen:
#!/bin/bash # Erst mal das Datum wegschneiden, da dort zwei blanks sein koennen grep Illegal | cut -b8-99 >tmp1 echo "Probierte Usernamen:" cat tmp1 | cut -d' ' -f6 | sort | uniq -c | sort -n echo "IPs:" cat tmp1 | cut -d' ' -f8 | sort | uniq -c | sort -n echo "Ende"
Die obigen Zeilen einfach in eine Datei schreiben („checklogs“?) und mit chmod +x checklogs ausführbar machen. Dann die Logs drüberlaufen lassen:
cat /var/log/auth.log | ./checklogs
(von http://wiki.hetzner.de/index.php/Security_Firewall#Auflisten_von_IP-Adressen_von_SSH-Scans)
Webstatistik
Zugriffs-Logs eines bestimmten Zeitbereichs checken
Beispiel: Uhrzeit von 13:35:00 bis 13:50:59
Daten aus Logdatei extrahieren:
sudo egrep „13:(3[5-9]|4[0-9]|50):[0-5][0-9]“ /var/log/nginx/access.log > ~/test
Daten analysieren mit goaccess:
goaccess -f ~/test
(Die einzelnen Bereiche lassen sich ausklappen, siehe Hilfe mit F1)
oder
goaccess -f ~/test -a > /var/www/dev.prepedia.org/htdocs/report.html
und dann mit dem Browser darauf zugreifen.
linux/monitoring.txt · Zuletzt geändert: von 127.0.0.1