Richard
Какой-либо шаблон в системном журнале?
Также попытайтесь использовать dumprel.exe для чтения поврежденных файлов журнала. http://support.microsoft.com/kb/129266
Может быть специализированный модуль PAM для этого, но я не мог найти одно пренебрежительное. Можно использовать pam_exec
выполнить Ваш сценарий после пользовательского входа в систему. Посмотрите man 8 pam_exec
. В основном просто необходимо изменить сценарий для чтения PAM_USER
и PAM_TTY
переменные среды вместо $ARGV
и затем добавьте
auth required pam_exec.so <your script>
Вы попытались использовать OSSEC? Это имеет правила проанализировать журналы и реальное время и легко сообщить относительно успешных логинов, отказавших логинов, в первый раз логинов от определенного IP или пользователя, и т.д.
Я использовал SEC, logwatch и другие инструменты в прошлом, но мы недавно заменили ими всеми OSSEC. Очень легко установить, и я не должен писать свой собственный scripts/regexes, так как это все включено по умолчанию.
Ссылка: http://www.ossec.net