过滤SSHD日志

Question

我只是想知道如何最好地过滤我的sshd日志。问题是，我使用Nagios和Cacti在SSH上监视我的盒子。它们每隔5分钟就连接一次，这会阻塞我的日志文件和大量的条目，因此很难快速“跟踪”来查看到底发生了什么。

我想让我的监视用户(在特定IP上)的所有登录记录在一个单独的文件中。

理想情况下，我应该避免安装syslog-ng或类似的。我必须在各种Ubuntu、CentOS和FreeBSD机器(运行各种OpenSSH版本)上设置它，所以如果我不需要额外的软件就可以轻松地完成这个任务。

关于如何做到这一点，有什么建议吗？

谢谢!

Answer 1

你可以这样做：

tail -f logfile | grep -v "some\.ip\.address\.to\.ignore"

或

tail -f logfile | grep -v "some\.ip\.address\.to\.ignore.*user-name"

Answer 2

您可以像这样将syslog文件传递给管道。

mkfifo /var/log/pipes/pipe1

然后

使用将删除不希望这样的字符串的脚本来阅读该脚本：

cat /var/log/pipes/pipe1 | grep -v "login from xxx.xxx.xxx" | while read LINE
do
  echo $LINE >>/var/log/ssh.log
done

Answer 3

Yoy可以试试奥斯秒，它有一个很好的日志分析。