查詢使用者登入密碼錯誤
訊息:
user="s0116" group="N/A" authproto="HTTPS(10.10.66.216)" action="authentication" status="failure" reason="invalue username/password" msg="User s0116 failed in authentication"
查詢: "s0116" && "invalue username/password"
或
使用 splunk (只記錄登入登出紀錄)
查詢: "s0116"
查詢使用者timeout登出
search: user ip AND timeout
search : user account AND timeout
**************************************
查詢使用者手動網頁登出
search: 203.68.0.73(網頁主機) AND 使用者ip
ie: 203.68.0.73 AND 192.168.12.85
有此紀錄表示使用者手動登出,主機是以使用者ip 踢掉使用者
**************************************
查詢使用者登入登出紀錄
search: username AND (success OR logout)
ie: sss AND (success OR logout
**********************************************
graylog search key word
find_content AND 203.68.0.248
nf_src_port:389
182.235.230.152 AND bro AND 404
**bro
經檢視上網紀錄,發現
efolio.nkuht.edu.tw有太多空鏈結未清除(404 file not found),造成系統認定為攻擊事件,
煩請老師在校外時,避免瀏覽 efolio.nkuht.edu.tw
**********************
搜尋 ap使用量
key word: ruckus_ap
2019-06-27T08:42:26.169Z 203.68.0.3 ruckus_ap 10.10.11.35 I_3_5_ruckus 2.4G 15 5G 44 total 59
nf_src_address:203.68.4.15 AND nf_dst_port:53
*************************************
