У меня есть задача настроить новый поток, который перехватывает все неудачные попытки входа по ssh. Я никогда раньше не использовал Graylog и очень плохо разбираюсь в регулярных выражениях.
Я понял, что вам нужно создать новый поток, сделать так, чтобы все сообщения о неудачном входе в систему ssh попадали в этот поток, а затем подавать сигнал тревоги.
Вы можете создать поток только для примера, а затем назовем его SSH принят/сбой
Затем создайте правило, в котором вы вводите поле
: сообщения
тип: соответствует регулярному выражению
значение для ошибки: Неверный пароль для.+ от .+
а затем создайте новое правило для того же потока со значением: Принятый пароль для.+ от .+
Тогда у вас будет поток, который собирает неудачные и принятые логины для вашего SSH.
