问题网上很多关于SSH监视的文章,很多监视系统拥有的last和lastb命令的输出,实际上分别是/var/log/wtmp和/var/log/btmp的普通黑客登录SSH后检查无法收集输出数据,使用被动监视方式,最近的记录记录大量空白或完全重复记录的被动方式是从服务端定时发送查询命令,ssh登录不是那么频繁! 早期发现问题后,“亡羊补牢”旨在减少破坏损失,在不阻止破坏我的思路使用主动方式的代理监控中,我们独立保存了ssh日志,以免被黑客抹去记录()。 中选择所需的墙类型
shd中文使用说明书
重点是以下几点
~/.ssh/rc文件(如果存在)将在读取和设置环境变量后、运行用户shell或命令前在sh上运行。
此文件不能在stdout中生成输出,只能在stderr中生成输出。
如果此文件不存在,将运行/etc/ssh/sshrc文件。
如果/etc/ssh/sshrc文件也不存在,则使用xauth添加cookie
直接放在. ssh下的rc文件
$ cd ~/.ssh
$ cat rc
#!/zxdy/bash log file=/var/log/zabbix-agent/ssh.log # log file=/etc/zabbix/ssh.log # echo $ user 3333 User: $user,IP:$ip,date : ` date ' % y-% m-% d % h : % m : % s ' ` $ log file在每次ssh注册时/var/log//
创建SSH监视模板监视项目
其他三个监视项目是分别在学习中留下的,现在只启用了这一个log监视
键值: log [/var/log/zabbix-agent/ssh.log ]
特利迦
添加公式
公式结果
{ templatesshlogincheckbywzh : log [/var/log/zabbix-agent/ssh.log ].str (Wellcome ) }=1
shell文件特意添加了Wellcome作为关键字进行匹配
测试活动方式不知道是否使用命令行方式进行测试,因此只能在WEB控制台中观察数据
主动方式的数据较慢,在测试客户端ssh登录后等待1分钟以上
或者不操作几次就看不到数据
其他几个监视项目停止了其他三个被动方式监视项目。 这里简单列举$ CD/etc/zabbix/zabbix _ agentd.conf.d
$ cat ssh_login_check.conf
# wzh 20210802用户参数ssh_login_wc,/usr/zxdy/who|WC-luser参数=ssh _ log in _ last,/usr/zxxdy
第二个键值ssh_login_last可轻松输出系统命令last
第三个键值ssh_login_check指向壳。 实际上,每次最近只有一个在简单echo输出之前创建的log文件的内容(/var/log/zabbix-agent/ssh.log )
被动监控总是有很多空白!
$ cat/etc/zabbix/ssh _ log in _ check.sh
#!/zxdy/bash # # wzh 2021 08 02 # cat/var/log/zabbix-agent/ssh.log # after read,clear # onlythelastshloginissavedched
公式
{ templatesshlogincheckbywzh : ssh _ log in _ WC.last (} 0
因为别人戴上nodata判断,所以特意取下了,戴上的话就会变成这样
{ templatesshlogincheckbywzh : ssh _ log in _ WC.last (}0and { templatesshlogincheckbywzh 3360 ssh _ log in _ WC.lash